タグサービスは、Resource Access Management (RAM) と連携して、より詳細な権限管理を実現できます。リソースにタグを追加した後、RAM カスタムポリシーを作成し、ポリシーで承認済みタグを指定し、ポリシーを RAM アイデンティティ (RAM ユーザーまたは RAM ロール) にアタッチできます。このようにして、RAM アイデンティティは、タグが追加されているリソースのみにアクセスして管理できます。タグベースの認証は、より柔軟で拡張性があります。新しいリソースが追加された場合、ポリシーを変更せずにリソースタグを編集できます。このトピックでは、タグを使用して RAM ユーザーのアクセス許可を制御する方法について説明します。
タグベースの認証をサポートするリソースタイプ
リソース管理コンソール にログオンします。[タグ] ページで、右上隅にある [タグ RAM サポート] をクリックします。表示されるページで、[タグ RAM サポート] 列を表示して、リソースタイプがタグベースの認証をサポートしているかどうかを確認します。
原則
次の図は、タグに基づいて RAM ユーザーの権限を制限するロジックを示しています。
Condition 要素を使用して、カスタムポリシーで承認済みタグを指定できます。次の表に、タグでサポートされている条件を示します。
条件 | 説明 |
| リクエストで渡されるタグ。この条件キーは、API オペレーションを呼び出すときにリクエストでタグを指定する必要があることを示します。 |
| リクエストされたリソースに追加されるタグ。この条件キーは、操作を実行するリソースにタグが付いている必要があることを示します。 |
手順
タグを作成し、リソースに追加します。
リソース管理コンソールの [タグ] ページ、リソース管理コンソールの [リソース検索] または [クロスアカウントリソース検索] ページ、または他の Alibaba Cloud サービスのコンソールで、タグを作成してリソースに追加できます。[タグ] ページでタグを作成してリソースに追加する方法については、タグの作成 および タグの追加 をご参照ください。
カスタムポリシーを作成します。
RAM コンソール でカスタムポリシーを作成し、ポリシーの Condition 要素でタグベースの認証の条件を設定します。詳細については、カスタムポリシーの作成 をご参照ください。
たとえば、次のポリシーでは、
owner:aliceおよびenvironment:productionというタグが付いている Elastic Compute Service (ECS) インスタンスでの管理操作が許可されます。{ "Effect": "Allow", // 許可 "Action": "ecs:*", // ECSへのすべてのアクション "Resource": "*", // すべてのリソース "Condition": { "StringEquals": { "acs:ResourceTag/owner": [ "alice" // オーナーがalice ], "acs:ResourceTag/environment": [ "production" // 環境がproduction ] } } }RAM ユーザーを作成し、RAM ユーザーに権限を付与します。
RAM コンソール で RAM ユーザーを作成し、カスタムポリシーを RAM ユーザーに追加します。詳細については、RAM ユーザーの作成 および RAM ユーザーへの権限の付与 をご参照ください。
ベストプラクティス
Alibaba Cloud サービス | タグベースの認証の例 |
ECS | |
Elastic Container Instance | |
Auto Scaling | |
サーバ移行センタ (SMC) | |
ApsaraDB RDS |