Resource Access Management (RAM) を使用すると、サブアカウントに対して PolarDB-X 1.0 リソースへの細かいアクセス権限を付与できます。このページでは、PolarDB-X 1.0 がサポートする RAM 認可ルールと、RAM が利用可能なリージョンについて説明します。
認可ルールの仕組み
各 RAM ポリシー文には、操作 と リソース の指定が必要です。PolarDB-X 1.0 のリソースは、以下の形式に従います:
acs:drds:<regionId>:<accountId>:<resourcePath>プレースホルダーを実際の値に置き換えてください:
| プレースホルダー | 説明 | 例 |
|---|---|---|
<regionId> | インスタンスが配置されているリージョン ID。詳細については、「RAM をサポートするリージョン」をご参照ください。 | cn-hangzhou |
<accountId> | ご利用の Alibaba Cloud アカウント ID | 123456789012 |
<resourcePath> | リソースパス。下記の認可ルール表をご参照ください。 | instance/drds-abc123 |
例:中国 (杭州) の特定インスタンスへのアクセスを許可する場合:
acs:drds:cn-hangzhou:123456789012:instance/drds-abc123リソースタイプ
PolarDB-X 1.0 では、以下の 5 種類のリソースパターンがサポートされています:
| リソースパターン | 範囲 |
|---|---|
instance/* | すべてのインスタンス(ワイルドカード) |
instance/$instanceid | 特定のインスタンス |
instance/$instanceid/db/* | 特定のインスタンス内のすべてのデータベース(ワイルドカード) |
instance/$instanceid/db/$dbname | 特定のインスタンス内の特定のデータベース |
contacts/* | すべてのアラート連絡先(ワイルドカード) |
認可ルール
以下の表には、アクセスレベル別に分類されたすべてのサポート操作が一覧表示されています。最小限の必要な権限で RAM ポリシーを作成する際に、これらの表をご活用ください。
認可ルール 列に記載されている、$で始まるすべてのパラメーターを、実際の値に置き換えてください。$regionIdRAM をサポートするリージョン」に記載されているリージョン ID を使用してください。
インスタンス管理
これらの操作は、インスタンスレベル(instance/* または instance/$instanceid)で実行されます。
| 操作 | 認可ルール | 説明 |
|---|---|---|
CreateDrdsInstance | acs:drds:$regionid:$accountid:instance/* | インスタンスを作成します |
DescribeDrdsInstanceList | acs:drds:$regionid:$accountid:instance/* | インスタンスの一覧を表示します |
UpgradeDrdsInstance | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンスの構成を変更します |
RemoveDRDSInstance | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンスをリリースします |
DescribeDrdsInstance | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンスの詳細情報を取得します |
VersionChanage | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンスのバージョンをアップグレードまたはロールバックします |
CreateInternetAddress | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンス用のパブリック IP アドレスを作成します |
ReleaseInternetAddress | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンスのパブリック IP アドレスをリリースします |
DescribeInstanceMonitor | acs:drds:$regionid:$accountid:instance/$instanceid | インスタンスの監視情報を取得します |
DescribeSlowSql | acs:drds:$regionid:$accountid:instance/$instanceid | スロー SQL をクエリします |
データベース管理
これらの操作は、データベースレベル(instance/$instanceid/db/* または instance/$instanceid/db/$dbname)で実行されます。
| 操作 | 認可ルール | 説明 |
|---|---|---|
CreateDrdsDB | acs:drds:$regionid:$accountid:instance/$instanceid/db/* | データベースを作成します |
DescribeDrdsDbList | acs:drds:$regionid:$accountid:instance/$instanceid/db/* | インスタンス内のデータベース一覧を表示します |
DescribeDrdsDb | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | データベースの詳細情報を取得します |
DeleteDrdsDb | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | データベースを削除します |
ModifyReadWriteWeight | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | 読み取りポリシーを変更します |
DescribeLogicTableList | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | データベース内のテーブル一覧を表示します |
ExecuteDDL | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | PolarDB-X 1.0 コンソールでデータ定義言語 (DDL) 文を実行します |
ModifyDrdsIpWhiteList | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | データベースの IP アドレスホワイトリストを変更します |
DrdsDataImport | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | データをインポートします |
DrdsSmoothExpand | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | スケールアウトを実行します |
CreateReadOnlyAccount | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | 読み取り専用アカウントを作成します |
ModifyReadOnlyAccountPassword | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | 読み取り専用アカウントのパスワードを変更します |
RemoveReadOnlyAccount | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | 読み取り専用アカウントを削除します |
DrdsShardTool | acs:drds:$regionid:$accountid:instance/$instanceid/db/$dbname | シャード変更ツールを使用します |
アラート管理
アラート連絡先およびアラートグループの操作では、contacts/* ワイルドカードを使用し、個別のアラート連絡先に限定することはできません。アラートルールの操作は、インスタンスレベルで実行されます。
CreateAlarmRuleおよびModifyAlarmRuleを実行するには、アラート連絡先グループをクエリするためにDescribeAlarmGroup権限が必要です。
| 操作 | 認可ルール | 説明 |
|---|---|---|
DescribeAlarmContacts | acs:drds:$regionid:$accountid:contacts/* | アラート連絡先の一覧を表示します |
AddAlarmContacts | acs:drds:$regionid:$accountid:contacts/* | アラート連絡先を追加します |
ModifyAlarmContacts | acs:drds:$regionid:$accountid:contacts/* | アラート連絡先を変更します |
RemoveAlarmContacts | acs:drds:$regionid:$accountid:contacts/* | アラート連絡先を削除します |
DescribeAlarmGroup | acs:drds:$regionid:$accountid:contacts/* | アラートグループの一覧を表示します |
AddAlarmGroup | acs:drds:$regionid:$accountid:contacts/* | アラートグループを追加します |
ModifyAlarmGroup | acs:drds:$regionid:$accountid:contacts/* | アラートグループを変更します |
RemoveAlarmGroup | acs:drds:$regionid:$accountid:contacts/* | アラートグループを削除します |
DescribeAlarmRule | acs:drds:$regionid:$accountid:instance/$instanceid | アラートルールの一覧を表示します |
CreateAlarmRule | acs:drds:$regionid:$accountid:instance/$instanceid | アラートルールを作成します |
ModifyAlarmRule | acs:drds:$regionid:$accountid:instance/$instanceid | アラートルールを変更します |
RemoveAlarmRule | acs:drds:$regionid:$accountid:instance/$instanceid | アラートルールを削除します |
DescribeAlarmHistory | acs:drds:$regionid:$accountid:instance/$instanceid | アラート履歴をクエリします |
RAM をサポートするリージョン
以下のリージョンで RAM 認可がサポートされています。リージョン ID の値を、認可ルール内の $regionId として使用してください。
| リージョン ID | リージョン名 |
|---|---|
cn-hangzhou | 中国 (杭州) |
cn-shenzhen | 中国 (深セン) |
cn-shanghai | 中国 (上海) |
cn-qingdao | 中国 (青島) |
cn-beijing | 中国 (北京) |