本ドキュメントでは、RAM にポリシーを作成して RAM ユーザーの ECS 権限を管理する方法について説明します。
共通ポリシー
次の表は、ECS 権限を管理するために RAM に作成できる共通ポリシーの一覧です。
| ポリシー | 説明 |
|---|---|
| AliyunECSFullAccess | RAM ユーザーに ECS インスタンスの完全管理権限を付与します。 |
| AliyunECSReadOnlyAccess | RAM ユーザーに ECS インスタンスに対する読み取り専用権限を付与します。 |
注 ECS 権限の詳細は、Authorization rules をご参照ください。
RAM ユーザーへのカスタムポリシーのアタッチ
- 本文の「ECS 権限付与の例」に従ってカスタムポリシーを作成します。
詳細は、カスタマイズポリシーの作成 をご参照ください.
- 対象のポリシーを見つけてクリックします。
- リファレンス タブで、権限付与 をクリックします。
- プリンシパルフィールドに、対象 RAM ユーザーの ID または名前を入力します。
- OK をクリックします。
注 必要に応じて、RAM ユーザーまたは RAM ユーザーグループにポリシーをアタッチすることもできます。 詳細は、RAM での権限付与 をご参照ください.
ECS 権限付与の例
- 例 1:複数のインスタンスを持つ RAM 管理者として、ユーザーに 2 つのインスタンスのみを操作する権限を与えます。
これら 2 つの ECS インスタンスの ID は、i-001 と i-002 とします。
{ "Statement": [ { "Action": "ecs:*", "Effect":"Allow", "Resource": [ "acs:ecs:*:*:instance/i-001", "acs:ecs:*:*:instance/i-002" ] }, { "Action": "ecs:Describe*", "Effect":"Allow", "Resource": "*" } ], "Version": "1" }注- 権限付与された RAM ユーザーはすべての ECS インスタンスを表示できますが、操作できるのはそのうちの 2 つのみです。
- ポリシーには
Describe*要素が必要です。 ポリシーにDescribe*要素が含まれていない場合、権限付与された RAM ユーザーはコンソールにインスタンスを表示できません。 ただし、RAM ユーザーは、API の呼び出し、CLI の使用、または ECS SDK の使用によって、指定された 2 つの ECS インスタンスを操作できます。
- 例 2:RAM 管理者として、RAM ユーザーに青島リージョンの ECS インスタンスを表示する権限を付与しますが、ディスクとスナップショットに関する情報の表示権限を付与しません。
リージョンおよびリソースタイプ別に ECS 権限をユーザーに付与できます。
{ "Statement": [ { "Effect": "Allow", "Action": "ecs:Describe*", "Resource": "acs:ecs:cn-qingdao:*:instance/*" } ], "Version": "1" } - 例 3:RAM 管理者として、RAM ユーザーにスナップショットの作成権限を付与します。
RAM ユーザーが ECS インスタンス管理者権限を付与された後にディスクスナップショットを作成できない場合は、ユーザーにディスク権限を再度付与する必要があります。 この例では、ECS インスタンス ID は inst-01、ディスク ID は dist-01 とします。
{ "Statement": [ { "Action": "ecs:*", "Effect":"Allow", "Resource": [ "acs:ecs:*:*:instance/inst-01" ] }, { "Action": "ecs:CreateSnapshot", "Effect":"Allow", "Resource": [ "acs:ecs:*:*:disk/dist-01", "acs:ecs:*:*:snapshot/*" ] }, { "Action": [ "ecs:Describe*" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }