ビジネスに様々な運用保守要件がある場合、Resource Access Management (RAM) を使用して、異なる運用保守エンジニアに特定の権限を付与できます。このアプローチにより、権限の管理とコントロールが簡素化されます。
背景情報
ある企業が複数の Alibaba Cloud サービスを購入し、Alibaba Cloud 上にアプリケーションをデプロイしたとします。このシナリオでは、以下の運用保守要件が発生します。
異なる運用保守エンジニアが、異なる Alibaba Cloud サービスを管理する必要があります。
異なる運用保守エンジニアが、クラウドリソースへのアクセス、操作、管理のために異なる権限を必要とします。
ソリューション
RAM ユーザーを作成し、様々なシナリオの運用保守要件を満たすために、異なるアクセスポリシーを付与することができます。
運用保守エンジニア | アクセスポリシー名 | アクセスポリシーの説明 |
クラウドプラットフォーム管理者 | AdministratorAccess | すべての Alibaba Cloud リソースを管理する権限。 |
クラウドリソース管理者 | PowerUserAccess | Alibaba Cloud のサービスとリソースへのフルアクセスを許可します。RAM ID とその権限、リソースディレクトリ、リソース共有関係、または財務アカウント情報を管理する権限は付与されません。 |
仮想マシン運用保守エンジニア | AliyunECSFullAccess | Elastic Compute Service (ECS) を管理する権限。 |
AliyunESSFullAccess | Auto Scaling (ESS) を管理する権限。 | |
AliyunSLBFullAccess | Server Load Balancer (SLB) を管理する権限。 | |
AliyunNASFullAccess | Apsara File Storage NAS (NAS) を管理する権限。 | |
AliyunOSSFullAccess | Object Storage Service (OSS) を管理する権限。 | |
AliyunOTSFullAccess | Tablestore を管理する権限。 | |
ネットワーク運用保守エンジニア | AliyunCDNFullAccess | Alibaba Cloud CDN を管理する権限。 |
AliyunCENFullAccess | Cloud Enterprise Network (CEN) を管理する権限。 | |
AliyunCommonBandwidthPackageFullAccess | Internet Shared Bandwidth を管理する権限。 | |
AliyunEIPFullAccess | Elastic IP Address (EIP) を管理する権限。 | |
AliyunExpressConnectFullAccess | Express Connect を管理する権限。 | |
AliyunNATGatewayFullAccess | NAT Gateway を管理する権限。 | |
AliyunSmartAccessGatewayFullAccess | Smart Access Gateway を管理する権限。 | |
AliyunVPCFullAccess | Virtual Private Cloud (VPC) を管理する権限。 | |
AliyunVPNGatewayFullAccess | VPN Gateway を管理する権限。 | |
データベース運用保守エンジニア | AliyunRDSFullAccess | ApsaraDB RDS を管理する権限。 |
AliyunDTSFullAccess | Data Transmission Service (DTS) を管理する権限。 | |
セキュリティ運用保守エンジニア | AliyunYundunFullAccess | すべての Alibaba Cloud セキュリティプロダクトを管理する権限。 |
監視運用保守エンジニア | AliyunActionTrailFullAccess | ActionTrail を管理する権限。 |
AliyunARMSFullAccess | Application Real-Time Monitoring Service (ARMS) を管理する権限。 | |
AliyunCloudMonitorFullAccess | CloudMonitor を管理する権限。 | |
ReadOnlyAccess | すべての Alibaba Cloud リソースに対する読み取り専用権限。 | |
AliyunSupportFullAccess | チケットシステムを管理する権限。 |
操作手順
このセクションでは、RAM ユーザー alice@secloud.onaliyun.com をデータベース運用保守エンジニアとして設定する方法を例に説明します。この設定により、RAM ユーザーは ApsaraDB RDS と Data Transmission Service (DTS) を管理できるようになります。
Alibaba Cloud アカウントを使用して RAM コンソールにログインします。
alice@secloud.onaliyun.comという名前の RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
AliyunRDSFullAccessおよびAliyunDTSFullAccessポリシーを RAM ユーザーalice@secloud.onaliyun.comにアタッチします。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
上記の手順を繰り返すことで、他の RAM ユーザーを作成し、対応するアクセスポリシーを付与できます。これにより、各ユーザーが異なる Alibaba Cloud サービスを管理できるようになります。