リソースグループの RAM ポリシー例 - Resource Management - Resource Management

RAM ユーザーや RAM ロールなどの RAM アイデンティティを使用してリソースグループを管理するには、必要な権限ポリシーをアタッチする必要があります。以下の例では、RAM ユーザーを使用します。

概要

必要な権限は 3 つのカテゴリに分類されます。RAM ユーザーがフルアクセスを必要とする場合は、3 つすべてを付与します。あるいは、最小権限の原則に従い、必要なものだけを付与します。

リソースグループの管理：リソースグループの作成、削除、変更、表示。
リソースグループ内のリソースの表示: リソースグループの詳細ページで、リソース タブにリソースが表示されます。
リソースグループスコープの権限付与の管理: リソースグループ詳細ページの権限タブで、権限の表示、付与、取り消しなど、RAM 権限を管理します。

リソースグループの管理

リソースグループの管理権限

RAM ユーザーにリソースグループの作成、削除、変更、表示などの完全な管理権限を付与するには、次のポリシーをアタッチします。通常、この権限はリソースグループの管理者に割り当てられます。

重要

Action 要素には、ram:TagResources、ram:UntagResources、および ram:ListTagResources が含まれます。このポリシーを持つ RAM アイデンティティは、リソースグループ、RAM ユーザー、RAM ロールなどのリソースに対してタグを追加、削除、表示できます。これらの権限は注意して付与してください。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:*ResourceGroup*",
        "ram:*AssociatedTransfer*",
        "ram:LookupResourceGroupEvents",
        "resourcemanager:*ResourceGroup*",  
        "resourcemanager:*AutoGrouping*",
        "ram:TagResources",  
        "ram:UntagResources",
        "ram:ListTagResources"
      ],
      "Resource": "*"
    }
  ]
}

リソースグループの読み取り専用権限

RAM ユーザーにリソースグループの読み取り専用権限を付与するには、次のポリシーをアタッチします。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:GetResourceGroup*",
        "ram:ListResourceGroup*",
        "ram:ListAssociatedTransferSetting",
        "ram:LookupResourceGroupEvents",
        "resourcemanager:GetResourceGroup*",
        "resourcemanager:ListResourceGroup*",
        "resourcemanager:GetAutoGrouping*",
        "resourcemanager:ListAutoGrouping*",
        "ram:ListTagResources"
      ],
      "Resource": "*"
    }
  ]
}

リソースグループ内のリソースの表示

RAM ユーザーがリソースグループの詳細ページの リソース タブでリソースを表示するには、対象リソースの読み取り専用権限も付与します。

例 1： RAM ユーザーが ProjectA リソースグループ内の VPC リソースのみを表示できるようにするには、AliyunVPCReadOnlyAccess を ProjectA リソースグループスコープで付与します。
例 2：RAM ユーザーがすべてのリソースグループのすべてのリソースを表示できるようにするには、 ReadOnlyAccess をアカウントレベルで付与します。

リソースグループスコープの権限付与の管理

RAM ユーザーがリソースグループの詳細ページの権限タブで RAM 権限 (権限の表示、付与、取り消しなど) を管理できるようにするには、次のポリシーをアタッチします。 RAM 権限管理者向けです。

重要

Action 要素には、ram:AttachPolicy、ram:DetachPolicy、および ram:ListPolicyAttachments が含まれます。Resource が * に設定されている場合、承認された RAM ID は、任意のリソースグループスコープまたはアカウントスコープで、任意の RAM ID に対して権限を表示、取り消し、付与できます。これらは高リスクの操作です。慎重に権限を付与してください。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:AttachPolicy",
        "ram:DetachPolicy",
        "ram:ListPolicyAttachments",
        "ram:ListPolicies",
        "ram:ListUsers",
        "ram:ListGroups",
        "ram:ListRoles"
      ],
      "Resource": "*"
    }
  ]
}

Resource Management:RAM ユーザーによるリソースグループの管理

概要

リソースグループの管理

リソースグループの管理権限

リソースグループの読み取り専用権限

リソースグループ内のリソースの表示

リソースグループスコープの権限付与の管理

関連ドキュメント