すべてのプロダクト
Search

このプロダクト

    Resource Orchestration Service:リソースグループによるきめ細かなアクセス制御

    ドキュメントセンター

    Resource Orchestration Service:リソースグループによるきめ細かなアクセス制御

    最終更新日:Apr 23, 2026

    リソースグループを活用することで、Resource Orchestration Service (ROS)リソースの一元管理が可能になり、RAM (Resource Access Management) ポリシーを用いたグループ単位でのきめ細かなアクセス制御を実現できます。これにより、Alibaba Cloud アカウントで最小権限の原則 (PoLP) を徹底できます。

    説明

    リソースグループレベルの権限設定は、サポート対象リソースタイプとアクションに限られます。サポート対象外アクションの場合、リソースグループに対するポリシーを指定しても無視されます。アクセス制御のため、アカウントに対するポリシーを設定する必要があります。

    仕組み

    リソースグループは、プロジェクトや環境ごとにリソースを整理します。リソースをグループ化したら、そのグループにのみ権限を限定する RAM ポリシーをアイデンティティ (RAM ユーザー、ユーザーグループ、ロールなど) にアタッチできます。詳細については、「リソースのグループ化と権限付与」をご参照ください。

    このアプローチには、主に 2 つのメリットがあります。

    • きめ細かなアクセス制御:アカウント全体の権限を付与する代わりに、アイデンティティのアクセスを特定のグループ内のリソースのみに制限できます。これにより、プロジェクト固有のワークロードを分離し、意図しないアクセスのリスクを軽減できます。

    • 管理の簡素化:新しいリソースがリソースグループに追加されると、そのグループに限定された権限を持つ RAM アイデンティティは自動的にアクセスできます。新しいリソースが作成されるたびに RAM ポリシーを更新する必要はありません。

    RAM ユーザーへのリソースグループレベルの権限付与

    このセクションでは、特定のリソースグループ内のResource Orchestration Service (ROS)リソースにのみアクセス権限を RAM ユーザーに付与する方法について説明します。

    1. 前提条件

    2. 権限付与

    リソースグループレベルの権限は、Resource Management コンソールまたは RAM コンソールのいずれかから付与できます。

    Resource Management コンソール

    • Resource Management コンソールにログインします。

    • [Resource Group] ページで、対象のリソースグループを見つけ、[Actions] 列の [Manage Permission] をクリックします。

    • [Permissions] タブで、[Grant Permission] をクリックします。

    • [Grant Permission] パネルで、プリンシパルとアクセスポリシーを設定します。

      • Principal:RAM ユーザーを選択します。

      • Policy[System Policy] または [Custom Policy] を選択します。詳細については、「カスタム権限ポリシーの作成」をご参照ください。

    • [Grant Permissions] をクリックします。

    詳細については、「リソースグループに対する RAM アイデンティティへの権限付与」をご参照ください。

    RAM コンソール

    • Alibaba Cloud アカウント (root ユーザー)または RAM 管理者アカウントを使用して、RAM コンソールにログインします。

    • 左側のメニューで、[Identities] > [Users]を選択します。[Users] ページで、対象の RAM ユーザーを見つけ、[Actions] 列の [Add Permissions] をクリックします。

    • [Grant Permission] パネルで、RAM ユーザーに権限を追加します。

      • Resource Scope[Resource Group] を選択します。

      • Principal:既存の RAM ユーザーまたは前のステップで作成した RAM ユーザーを選択します。

      • Access Policy[System Policy] または [Custom Policy] を選択します。詳細については、「カスタム権限ポリシーの作成」をご参照ください。

    • [OK] をクリックします。

    詳細については、「RAM ユーザーへの権限付与」をご参照ください。

    サポート対象リソース

    以下のResource Orchestration Service (ROS)リソースは、リソースグループレベルの権限付与をサポートしています。

    Alibaba Cloud サービス

    サービスコード

    リソースタイプ

    Resource Orchestration Service (ROS)

    ros

    stack : スタック

    Resource Orchestration Service (ROS)

    ros

    stackgroup : スタックグループ

    Resource Orchestration Service (ROS)

    ros

    template : テンプレート

    Resource Orchestration Service (ROS)

    ros

    templatescratch : シナリオ
    説明

    上表に記載されていないリソースタイプのサポートをリクエストするには、Resource Management コンソールでフィードバックを送信してください。

    image

    サポート対象外アクション

    以下のResource Orchestration Service (ROS)アクションは、リソースグループレベルの権限付与をサポートしていません。

    アクション

    説明

    ros:ChatROS

    -

    ros:CompareTemplates

    -

    ros:CreateAITask

    -

    ros:CreateDiagnostic

    -

    ros:DeleteDiagnostic

    -

    ros:DeregisterResourceType

    -

    ros:DescribeStacks

    -

    ros:DisableServiceAccess

    -

    ros:EnableServiceAccess

    -

    ros:EnableServices

    -

    ros:GetAITask

    -

    ros:GetDiagnostic

    -

    ros:GetResourceType

    -

    ros:GetResourceTypeRecommendedTemplate

    -

    ros:GetResourceTypeTemplate

    -

    ros:GetServiceAccess

    -

    ros:GetSession

    -

    ros:ListAITaskEvents

    -

    ros:ListAITasks

    -

    ros:ListChatMessages

    -

    ros:ListChatSessions

    -

    ros:ListDiagnostics

    -

    ros:ListPrivateTemplates

    -

    ros:ListResourceTypeRegistrations

    -

    ros:ListResourceTypeVersions

    -

    ros:ListResourceTypes

    -

    ros:ListSessions

    -

    ros:ListSummaries

    -

    ros:ListTagKeys

    -

    ros:ListTagValues

    -

    ros:OpsSetResourceTypeVersion

    -

    ros:RegisterResourceType

    -

    ros:SetResourceType

    -

    ros:StartChat

    -

    ros:ValidateTemplate

    -

    上記のアクションについては、 [Resource Scope] [Account] に設定し、カスタムポリシーを作成する必要があります。

    image.png 以下のポリシー例は、必要に応じてカスタマイズ可能です。

    • 読み取り専用アクセスの許可

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ros:DescribeStacks",
        "ros:GetAITask",
        "ros:GetDiagnostic",
        "ros:GetResourceType",
        "ros:GetResourceTypeRecommendedTemplate",
        "ros:GetResourceTypeTemplate",
        "ros:GetServiceAccess",
        "ros:GetSession",
        "ros:ListAITaskEvents",
        "ros:ListAITasks",
        "ros:ListChatMessages",
        "ros:ListChatSessions",
        "ros:ListDiagnostics",
        "ros:ListPrivateTemplates",
        "ros:ListResourceTypeRegistrations",
        "ros:ListResourceTypeVersions",
        "ros:ListResourceTypes",
        "ros:ListSessions",
        "ros:ListSummaries",
        "ros:ListTagKeys",
        "ros:ListTagValues",
        "ros:ValidateTemplate"
      ],
      "Resource": "*"
    }
  ]
}

    • フルアクセスの許可

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ros:ChatROS",
        "ros:CompareTemplates",
        "ros:CreateAITask",
        "ros:CreateDiagnostic",
        "ros:DeleteDiagnostic",
        "ros:DeregisterResourceType",
        "ros:DescribeStacks",
        "ros:DisableServiceAccess",
        "ros:EnableServiceAccess",
        "ros:EnableServices",
        "ros:GetAITask",
        "ros:GetDiagnostic",
        "ros:GetResourceType",
        "ros:GetResourceTypeRecommendedTemplate",
        "ros:GetResourceTypeTemplate",
        "ros:GetServiceAccess",
        "ros:GetSession",
        "ros:ListAITaskEvents",
        "ros:ListAITasks",
        "ros:ListChatMessages",
        "ros:ListChatSessions",
        "ros:ListDiagnostics",
        "ros:ListPrivateTemplates",
        "ros:ListResourceTypeRegistrations",
        "ros:ListResourceTypeVersions",
        "ros:ListResourceTypes",
        "ros:ListSessions",
        "ros:ListSummaries",
        "ros:ListTagKeys",
        "ros:ListTagValues",
        "ros:OpsSetResourceTypeVersion",
        "ros:RegisterResourceType",
        "ros:SetResourceType",
        "ros:StartChat",
        "ros:ValidateTemplate"
      ],
      "Resource": "*"
    }
  ]
}
    重要

    アカウントレベルの権限を付与すると、アカウント内のすべての関連リソースへのアクセスが許可されます。常に最小権限の原則に従ってください。

    よくある質問

    リソースがどのリソースグループに属しているかを確認するにはどうすればよいですか。

    • 方法 1:所属サービスのコンソールで確認

      • リソースが所属する Alibaba Cloud サービスのコンソールに移動します。通常、リソースの詳細ページの基本情報セクションにリソースグループが記載されています。

    • 方法 2:Resource Management コンソールで確認

      • Resource Management コンソールにログインします。

      • [Resource Center] > [Resource Search]を選択します。

      • 左側のメニューで、対象リソースを所有するアカウントを選択します (デフォルトは [Current Account]) を選択します。

      • フィルター条件を使用してリソースを検索します。

      • [Resource Group Name] 列に、リソースが属するグループが表示されます。

    特定のリソースグループ内のすべてのリソースを表示するにはどうすればよいですか。

    • 方法 1:

      • Resource Management コンソールにログインします。

      • [Resource Center] > [Resource Search]を選択します。

      • 左側のメニューで、リソースを所有するアカウント (デフォルトは [Current Account]) の下にある、対象のリソースグループ名をクリックします。

      • 右側の画面で、[Select resource types] ドロップダウンリストからクラウドサービスを選択します。

      • そのグループ内のすべてのリソースが表示されます。

    • 方法 2:

      • Resource Management コンソールにログインします。

      • [Resource Group] > [Resource Group]を選択します。

      • 対象のリソースグループを見つけ、[Actions] 列の [Manage Resource] をクリックします。

      • リソース管理ページで、[Service] ドロップダウンリストからクラウドサービスを選択します。

      • そのグループ内のすべてのリソースが表示されます。

    複数のリソースを別のリソースグループに一括で移動するにはどうすればよいですか。

    1. Resource Management コンソールにログインします。

    2. 左側のメニューで、 [Resource Group] > [Resource Group] を選択します。

    3. 対象のリソースグループを見つけ、[Actions] 列の [Manage Resource] をクリックします。

    4. リソース管理ページで、フィルター条件を使用して移動したいリソースを検索します。

    5. 移動したいリソースのチェックボックスを選択します。

    6. ページ下部にある [Transfer] をクリックします。

    7. ダイアログボックスで、移動先のリソースグループを選択し、 [Confirm] をクリックします。