システムポリシーまたはカスタムポリシーを Resource Access Management (RAM) ユーザーにアタッチすると、RAM ユーザーはポリシーにある権限を介して必要な Alibaba Cloud リソースにアクセスできます。最小権限の原則に基づいて、必要な権限のみを RAM ユーザーに付与することをお勧めします。このトピックでは、2 つの権限付与方法を説明します。
方法 1:ユーザーページでの権限付与
RAM 管理者として RAM コンソール にログインします。
左側のメニューで、 を選択します。
[ユーザー] ページで、ターゲット RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
また、複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。
[権限付与] パネルで、権限を付与します。
[Resource Scope] パラメーターを設定します。
[Account]:権限は現在の Alibaba Cloud アカウントに適用されます。
[ResourceGroup]:権限は特定のリソースグループに適用されます。
重要[ResourceGroup] を選択する場合は、対象クラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。リソースグループに対して、権限付与方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
[Principal] パラメーターを設定します。
Principal (プリンシパル) とは、権限が付与される RAM ユーザーのことです。システムにより、現在の RAM ユーザーが自動的に選択されます。
[Policy] パラメーターを設定します。
一度に複数のポリシーを選択できます。ポリシーとは、特定の構文形式に基づいてアクセス権限を定義する一連のルールです。RAM では、次の 2 種類のポリシーがサポートされています。
システムポリシー:事前定義済みのポリシーのことで、AIibaba Cloud によって作成または更新されるため、直接使用できますが、変更することはできません。詳細については、「RAM と連携するサービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーを自動的に識別します。これらのポリシーを選択しないことをお勧めします。
カスタムポリシー:業務ニーズに合わせて、自由に作成、変更、削除、および更新できます。詳細については、「カスタムポリシーを作成する」をご参照ください。
重要各 RAM ユーザーにアタッチできるシステムポリシーとカスタムポリシーの最大数については、「制限」をご参照ください。
[Grant permissions] をクリックします。
[終了] をクリックします。
方法 2:権限付与ページでの権限付与
RAM 管理者として RAM コンソール にログインします。
左側のメニューで、 を選択します。
[授権] ページで、[Grant Permission] をクリックします。
[Grant Permission] パネルで、権限を付与します。
[Resource Scope] パラメーターを設定します。
[Principal] パラメーターを設定します。
一度に複数の RAM ユーザーを選択できます。
[Policy] パラメーターを設定します。
[Grant premissions] をクリックします。
[終了] をクリックします。