RAM ロールを使用した VPC 権限の管理 - Resource Access Management

このトピックでは、Resource Access Management (RAM) ユーザーの Virtual Private Cloud (VPC) に対するアクセス権限を管理する方法について説明します。 RAM コンソールでは、カスタムポリシーを作成して RAM ユーザーにアタッチできます。

このタスクについて

RAM ユーザーの VPC 権限を管理する前に、以下のシステムポリシーを理解しておく必要があります。
- AliyunVPCFullAccess：RAM ユーザーに VPC を管理するためのアクセス権限を付与します。
- AliyunECSReadOnlyAccess：VPC に対する読み取り専用のアクセス権限を付与します。
これら 2 つのシステムポリシーが業務要件を満たすことができない場合、カスタムポリシーを作成できます。
RAM ユーザーの VPC 権限を管理する前に、VPC 権限について理解しておく必要があります。詳細については、「RAM の権限付与」をご参照ください。

手順

RAM ユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
カスタムポリシーを作成します。
詳細については、「カスタマイズポリシーの作成」および「ポリシーの例」をご参照ください。
RAM ユーザーにポリシーをアタッチします。
詳細については、「RAM ユーザーへの権限付与」をご参照ください。

ポリシーの例

例 1： RAM ユーザーに、すべての VPC を管理する権限を付与します。

RAM ユーザーに対して、Alibaba Cloud アカウント 1234567 のすべての VPC を管理する権限を付与するには、以下のサンプルスクリプトを使用します。

{
    "Version": "1",
    "Statement": [
        {
        "Effect": "Allow",
            "Action": [
                "vpc:*"
            ],
            "Resource": [
                "acs:vpc:*:1234567:*/*"
            ]
        },
        {
        "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Example 2: RAM ユーザーに、VPC 内の vSwitch を管理する権限を付与します。
RAMユーザーに対して、中国 (青島) リージョンに作成された VPC の vSwitch を管理する権限を付与するには、以下のポリシーを使用します。このポリシーがアタッチされた RAM ユーザーは、中国 (青島) リージョンに作成された VPC 内の vSwitch のサブネットルートの作成、削除、関連付け、関連付け解除を実行できます。 RAM ユーザーは、他のリージョンの vSwitch のみ表示できます。
```
{
    "Version": "1",
    "Statement": [
        {
        "Effect": "Allow",
            "Action": [
                "vpc:*Describe*",
                "vpc:*VSwitch*",
                "vpc:*RouteTable*"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:*/*"
            ]
        },
        {
        "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
```

例 3： RAM ユーザーに、特定のリージョンのルートテーブルとルートを管理する権限を付与します。

RAM ユーザーに対して、中国 (杭州) リージョンのすべての VPC を管理する権限を付与するには、以下のサンプルスクリプトを使用します。 RAM ユーザーは Alibaba Cloud アカウント 1234567 に属しています。権限が付与された RAM ユーザーは、ルートの追加または削除、サブネットルートの作成、およびこのリージョンでの vSwitch の関連付けを実行できます。 RAM ユーザーは、他のリージョンのクラウドサービスのみ表示できます。

{
    "Version": "1",
    "Statement": [
        {
        "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": null
        },
        {
        "Effect": "Allow",
            "Action": [
                "slb:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": null
        },
        {
        "Effect": "Allow",
            "Action": [
                "rds:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": null
        },
        {
        "Effect": "Allow",
            "Action": [
                "vpc:*Describe*",
                "vpc:*RouteEntry*",
                "vpc:*RouteTable*"
            ],
            "Resource": [                
"acs:vpc:cn-hangzhou:1234567:*/*"
            ],
            "Condition": null
        }
    ]
}

例 4： RAM ユーザーに、指定したルートテーブルのルートを追加または削除する権限を付与します。

RAM ユーザーに対して、特定のルートテーブルでルートを追加または削除する権限を付与するには、以下のポリシーを使用します。

{
    "Version": "1",
    "Statement": [
        {
        "Effect": "Allow",
            "Action": [
                "vpc:*RouteEntry*"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
            ]
        },
        {
        "Effect": "Allow",
            "Action": [
                "vpc:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
        "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}