PolarDB:カスタム権限付与ポリシーを使用して、RAMユーザーのPolarDB-X 1.0インスタンスの権限を管理する

制限事項

RAMユーザーは、PolarDB-X 1.0データベースのパスワードを変更する権限がありません。

ステップ1: カスタム権限付与ポリシーの作成

1. Alibaba Cloudアカウントを使用してRAMコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

4. On theポリシーの作成ページをクリックし、JSONタブをクリックします。

5. 表示されるページで、パラメーターを設定します。

   

   項目	説明
   名前	ポリシー名です。 ポリシーのビジネスを識別するのに役立つ名前を指定することをお勧めします。
   注意	オプションです。 ポリシーの説明です。
   設定モード	[JSON] を選択する必要があります。 PolarDB-X 1.0は、スクリプト設定モードのみをサポートしています。
   ポリシーの内容	既存のシステムポリシーをインポートできます。 説明 この例では、カスタムポリシーの作成方法を示します。 したがって、既存のシステムポリシーをインポートする必要はありません。
   Script	ポリシーの内容を指定するスクリプト。 このセクションの次の部分では、カスタムポリシーのサンプルスクリプトを参照用に提供します。 説明 ポリシーの構文と構造に基づいて権限付与ポリシーを指定する必要があります。 権限付与ポリシーでは、権限付与されるリソース、権限付与される操作、および権限付与条件を指定する必要があります。 詳細については、「ポリシーの構造と構文」をご参照ください。 特定のリソースとアクションに対する権限を付与できます。

   サンプルカスタムポリシー:

   説明

   • 次のサンプルスクリプトの1234をAlibaba CloudアカウントのUIDに置き換える必要があります。

   • 次のサンプルスクリプトのインスタンスIDを、PolarDB-X 1.0インスタンスのIDに置き換える必要があります。

   • 次のサンプルスクリプトでは、RAMユーザーがPolarDB-X 1.0コンソールで操作を実行できるようにする権限を指定します。

     {
       "Version": "1",
       "Statement": [
           {
                "アクション": "drds:*" 、
               "Resource": "acs:drds:*:1234:instance/*" 、
               "Effect": "Allow"
           },
           {
                 "Action": "ram:PassRole",
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
     }

   • 次のサンプルスクリプトは、RAMユーザーが中国 (HangZhou) リージョンのAlibaba CloudアカウントのすべてのPolarDB-X 1.0インスタンスにアクセスできるようにする権限を指定しています。

     {
       "Version": "1",
       "Statement": [
           {
               "アクション": "drds:*" 、
               "リソース": "acs:drds:cn-hangzhou:1234:instance/*" 、
               "Effect": "Allow"
           },
           {
               "Action": "ram:PassRole",
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
     }       

   • 次のサンプルスクリプトでは、RAMユーザーがアクセスできないインスタンスを指定します。

     {
       "Version": "1",
       "Statement": [
           {
               "アクション": "drds:*" 、
               "Resource": "acs:drds:*:1234:instance/*" 、
               "Effect": "Allow"
           },
           {
               "アクション": "drds:*" 、
               "Resource": [
                   "acs:drds:*:1234: インスタンス /インスタンスID" 、
               ],
               "効果": "拒否"
           },
           {
               "Action": "ram:PassRole",
               "Resource": "*",
               "Effect": "Allow"
           }
       ]
     }            

     説明

     このポリシーを使用して権限を付与されたRAMユーザーは、指定されたインスタンス以外のAlibaba CloudアカウントのすべてのPolarDB-X 1.0インスタンスにアクセスできます。

6. [次へ] をクリックしてポリシー情報を編集します。

7. [OK] をクリックします。

手順2: カスタムポリシーを使用してRAMユーザーに権限を付与する

1. RAMコンソールにログインします。

2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

3. [ポリシー] ページで、使用するカスタムポリシーを見つけ、カスタムポリシーの名前をクリックします。

   

4. カスタムポリシーの詳細ページで、[参照] タブをクリックします。

5. [権限付与] をクリックします。 [権限の追加] パネルで、パラメーターを設定します。

   パラメーター	説明
   承認済みスコープ	許可されたスコープの値として、Alibaba Cloudアカウントまたは特定のリソースグループを指定できます。
   プリンシパル	RAMユーザー、RAMユーザーグループ、またはRAMロールのユーザー名のキーワードを入力して、権限を付与するRAMユーザーを検索できます。 次に、検索結果からRAMユーザーを選択します。
   ポリシーの選択	デフォルトでは、現在のカスタムポリシーはパネルの右側の [選択済み] セクションに表示されます。 RAMユーザーに他の権限を付与する場合は、パネルの左側にある [権限付与ポリシー名] 列でポリシーの名前をクリックします。 次に、選択したポリシーが [選択済み] セクションに表示されます。 説明 一度に最大5つのポリシーをアタッチできます。 より多くのポリシーをアタッチするには、上記の操作を再度実行します。

6. [OK] をクリックします。

   説明

   RAMユーザーおよびRAMユーザーグループに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」および「RAMユーザーグループに権限を付与する」をご参照ください。