RAM ID(RAM ユーザーまたは RAM ロール)を使用してリソースグループを管理するには、必要な権限ポリシーを RAM ID にアタッチする必要があります。このトピックでは、RAM ユーザーを使用してリソースグループを管理する方法について説明します。
概要
必要な権限ポリシーは、以下のタイプに分類されます。 RAM ユーザーにリソースグループの管理、リソースグループ内のリソースの表示、およびリソースグループベースの権限付与の管理を行う権限を付与する場合は、すべてのタイプのポリシーを RAM ユーザーにアタッチする必要があります。そうでない場合は、アクセス セキュリティを確保するために、最小権限の原則に基づいて、必要な権限のみを RAM ユーザーに付与する必要があります。
リソースグループを管理するためのポリシー: RAM ユーザーがリソースグループの作成、削除、変更、表示などの操作を実行できるようにします。
リソースグループ内のリソースを表示するためのポリシー: RAM ユーザーがリソースグループの詳細ページの [リソース] タブでリソースグループ内のリソースを表示できるようにします。
リソースグループベースの権限付与を管理するためのポリシー: RAM ユーザーがリソースグループの詳細ページの [権限] タブで、リソースグループに基づいて付与された権限を管理できるようにします。たとえば、RAM ユーザーを使用して、リソースグループに基づいて権限の表示、追加、および取り消しを行うことができます。
リソースグループを管理するためのポリシー
リソースグループの管理権限を付与するために使用されるポリシー
RAM ユーザーにリソースグループを管理する権限を付与する場合は、次のポリシーを RAM ユーザーにアタッチできます。このポリシーにより、RAM ユーザーは、リソースグループの作成、削除、変更、表示など、リソースグループに対するすべての読み取りおよび書き込み操作を実行できます。このポリシーは、リソースグループ管理者に適用されます。
次のポリシーでは、ram:TagResources、ram:UntagResources、および ram:ListTagResources が Action 要素に指定されています。これは、ポリシーがアタッチされている RAM ID を使用して、リソースグループ、RAM ユーザー、RAM ロールなどのリソースにタグを追加したり、タグを削除したり、タグを表示したりできることを示しています。注意して進めてください。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:*ResourceGroup*",
"ram:*AssociatedTransfer*",
"ram:LookupResourceGroupEvents",
"resourcemanager:*ResourceGroup*",
"resourcemanager:*AutoGrouping*",
"ram:TagResources", // リソースにタグを追加することを許可します
"ram:UntagResources", // リソースからタグを削除することを許可します
"ram:ListTagResources" // リソースのタグを表示することを許可します
],
"Resource": "*"
}
]
}リソースグループの読み取り専用権限を付与するために使用されるポリシー
RAM ユーザーにリソースグループの読み取り専用権限のみを付与する場合は、次のポリシーを RAM ユーザーにアタッチできます。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:GetResourceGroup*",
"ram:ListResourceGroup*",
"ram:ListAssociatedTransferSetting",
"ram:LookupResourceGroupEvents",
"resourcemanager:GetResourceGroup*",
"resourcemanager:ListResourceGroup*",
"resourcemanager:GetAutoGrouping*",
"resourcemanager:ListAutoGrouping*",
"ram:ListTagResources"
],
"Resource": "*"
}
]
}リソースグループ内のリソースを表示するためのポリシー
RAM ユーザーがリソースグループの詳細ページの [リソース] タブでリソースグループ内のリソースを表示できるようにするには、リソースに対する読み取り専用権限を RAM ユーザーに付与する必要があります。
例 1: RAM ユーザーが ProjectA リソースグループ内の仮想プライベートクラウド(VPC)のみを表示できるようにするには、ProjectA リソースグループレベルで [AliyunVPCReadOnlyAccess] ポリシーを RAM ユーザーにアタッチします。
例 2: RAM ユーザーが現在のアカウント内のすべてのリソースグループのすべてのリソースを表示できるようにするには、アカウントレベルでシステムポリシー [ReadOnlyAccess] を RAM ユーザーにアタッチします。
リソースグループベースの権限付与を管理するためのポリシー
RAM ユーザーがリソースグループの詳細ページの [権限] タブで、リソースグループに基づいて付与された権限(リソースグループに基づいて権限を表示、付与、および取り消すなど)を管理できるようにするには、次のポリシーを RAM ユーザーにアタッチできます。このポリシーは、RAM 権限管理者に適用されます。
次のポリシーでは、ram:AttachPolicy、ram:DetachPolicy、および ram:ListPolicyAttachments が Action 要素に指定されており、* が Resource 要素に指定されています。これは、ポリシーがアタッチされている RAM ID を使用して、任意のリソースグループ範囲またはアカウント範囲内の任意の RAM ID に権限を表示、取り消し、および付与できることを示しています。これらの操作は、リスクの高い操作です。ポリシーをアタッチする際は注意して進めてください。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:AttachPolicy",
"ram:DetachPolicy",
"ram:ListPolicyAttachments",
"ram:ListPolicies",
"ram:ListUsers",
"ram:ListGroups",
"ram:ListRoles"
],
"Resource": "*"
}
]
}