このトピックでは、あるユーザーに単一の ECS インスタンスに対する完全な管理権限を付与し、他のすべてのインスタンスに対しては読み取り専用アクセスを許可する RAM ポリシーの例を示します。
利用シーン
特定の ECS インスタンス (i-001) の管理を RAM ユーザーにデリゲートするシナリオです。コンソールからインスタンスを効果的に管理するには、ユーザーが割り当てられたインスタンスを見つけられるように、すべてのインスタンスを一覧表示および詳細表示できる必要があります。ただし、指定されたインスタンスに対してのみ、起動、停止、再起動などの操作を実行する権限を付与します。
ポリシーの例
以下のポリシーは、2 つの個別のステートメントを使用することでこれを実現します。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ecs:*",
"Resource": "acs:ecs:*:*:instance/i-001"
},
{
"Effect": "Allow",
"Action": "ecs:Describe*",
"Resource": "*"
}
]
}ポリシーの仕組み
このポリシーには、連携して必要なレベルのアクセスを提供する 2 つのステートメントが含まれています:
ステートメント 1: 特定のインスタンスの完全な管理を許可
"Action": "ecs:*" と "Resource": "acs:ecs:*:*:instance/i-001" を組み合わせることで、すべての ECS アクション (ecs:StartInstance や ecs:StopInstance など) を実行する権限が付与されますが、これらの強力な権限は ID が i-001 のインスタンスのみに制限されます。
ステートメント 2: すべてのインスタンスへの読み取り専用アクセスを許可
"Action": "ecs:Describe*" と "Resource": "*" を組み合わせることで、「Describe」で始まるすべての読み取り専用アクション (ecs:DescribeInstances や ecs:DescribeInstanceAttribute など) の権限が付与されます。
この権限は、RAM ユーザーが Alibaba Cloud 管理コンソールでインスタンスを一覧表示および詳細表示するために不可欠です。このステートメントがない場合、ユーザーはコンソールでどのインスタンスも表示できず、管理権限を持つインスタンスを見つけて管理することが不可能になります。