Serverless App Engine (SAE) は、SAE 関連の RAM ポリシーの設定を効率化するために設計された権限アシスタント機能を提供します。このトピックでは、SAE 権限アシスタントを使用してポリシー ステートメントを迅速に生成し、RAM コンソール内でポリシー構成を完了する方法について説明します。
前提条件
背景情報
SAE 権限アシスタントは、RAM ポリシーを作成するためのツールです。アプリケーションとタスク操作に対して SAE 権限を正確に視覚化および構成し、SAE コンソール内で必要なポリシー ステートメントを生成できます。この方法により、RAM コンソールでポリシー ステートメントを手動で編集することによって発生する可能性のあるエラーを防ぐことができます。その後、RAM コンソールでカスタムポリシーを作成し、生成されたステートメントでポリシードキュメントを更新し、SAE 権限を必要とする RAM ユーザーに適切な権限を割り当てることができます。
Alibaba Cloud アカウント(プライマリアカウント)と RAM ユーザー(サブアカウント)の両方が、コンソールで SAE 権限アシスタントを使用してポリシーのドラフトを作成できます。ただし、ポリシーは、RAM コンソールにデプロイされて初めて、制限付きの機能で有効になります。
ステップ 1:SAE コンソールでポリシーを作成する
-
SAE コンソール の左側のナビゲーションウィンドウで、 を選択します。次に、[権限アシスタント] ページで、[ポリシーの作成] をクリックします。
-
[ポリシーの作成] パネルの [ポリシー構成] ウィザードで、以下の操作を完了し、[次へ] をクリックします。
-
[ポリシー名] と [説明] を入力します。
構成項目
説明
[ポリシー名]
ポリシーのカスタム名。文字で始まり、数字、文字、アンダースコア (_)、およびハイフン (-) を含めることができ、36 文字を超えてはなりません。
[説明]
ポリシーの説明。
-
[ポリシーステートメントの追加] をクリックします。[ポリシーステートメントの追加] パネルで、以下の操作を完了し、[確認] をクリックします。
構成項目
説明
[承認済みリソース]
ドロップダウンリストからリソースディメンションを選択します。
リージョン:単一選択をサポートします。
名前空間:単一選択をサポートします。
アプリケーションまたはタスク:複数選択をサポートします。
[承認済み操作]
[オプションの権限] チェックボックスで付与する権限を選択し、[選択済み権限] プレビューボックスで選択した権限を表示します。承認済み操作の制限は次のとおりです。
[操作の検索] テキストボックスはあいまい検索をサポートし、大文字と小文字が区別されます。
[選択済み権限] チェックボックスには、デフォルトで [システムデフォルトの読み取り権限] が表示されます。
読み取り操作と書き込み操作はインタラクティブです。したがって、読み取り権限と書き込み権限を選択すると、システムは関連する権限を自動的に判断して選択します。たとえば、書き込み権限で を選択すると、システムは関連する読み取り権限を自動的に選択します。
追加されたポリシーステートメントは、[ポリシー構成] ウィザードで表示でき、必要に応じて [権限の表示]、[複製]、[編集]、[削除] などの操作を実行できます。
説明-
複数の名前空間のリソースに権限を設定する必要がある場合は、複数のポリシーステートメントを追加します。
-
既存のポリシーステートメントをコピーするか、既存のポリシーステートメントに基づいて新しいステートメントを編集および追加する必要がある場合は、[複製] をクリックして [複製] ポリシーステートメントパネルに入り、必要に応じて編集し、ポリシーステートメントを追加します。
-
-
[ポリシープレビュー] ウィザードで、生成されたポリシーステートメントを確認し、[完了] をクリックします。
[ワンクリックコピー] をクリックできます。コピーされた RAM 認証ステートメントは、ステップ 2:RAM コンソールでカスタムポリシーを作成する で使用されます。
コンソールパネルは [権限アシスタント] ページに戻り、新しく作成されたポリシーを表示し、必要に応じて [権限の表示]、[RAM 認証ステートメントのワンクリックコピー]、[編集]、[削除] などの操作を実行できます。
重要-
SAE 権限アシスタントによって作成されたポリシーは、SAE リソースにのみ適用され、最大 20 個のステートメントに制限されています。
-
SAE に新しい機能が導入された場合は、既存のポリシーの RAM ユーザーにこれらの新機能の権限があることを確認するために、RAM ポリシーステートメントを再生成する必要があります。
-
ステップ 2:RAM コンソールでカスタムポリシーを作成する
RAM コンソールでカスタムポリシーを作成する場合は、ステップ 1:SAE コンソールでポリシーを作成する で生成されたポリシーステートメントを含めるように、ポリシードキュメントを変更します。
管理権限を持つ RAM ユーザーとして RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックします。
ポリシーコンテンツを入力します。
RAM ポリシーの構文と構造の詳細については、「ポリシーの構造と構文」をご参照ください。
上部にある [オプションの詳細最適化] をクリックします。オプションの詳細最適化メッセージで、[実行] をクリックしてポリシーを最適化します。
システムは、詳細最適化中に次の操作を実行します。
アクションと互換性のないリソースまたは条件を分割します。
リソースを絞り込みます。
ポリシーステートメントを重複排除またはマージします。
[ポリシーの作成] ページで、[OK] をクリックします。
[ポリシーの作成] ダイアログボックスで、[名前] パラメーターと [説明] パラメーターを構成し、[OK] をクリックします。
ステップ 3:RAM コンソールで RAM ユーザーに権限を付与する
カスタムポリシーを正常に作成した後、RAM コンソールで権限を必要とする RAM ユーザーに権限を付与します。このセクションでは、[ユーザー] ページで RAM ユーザーに権限を付与する方法について説明します。その他の方法については、「RAM ユーザーに権限を付与する」をご参照ください。
RAM 管理者として RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、[権限の追加][アクション] 列の をクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
[リソーススコープ] パラメーターを構成します。
[アカウント]:認証は現在の Alibaba Cloud アカウントで有効になります。
[リソースグループ]:認証は特定のリソースグループで有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択する場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパルパラメーターを構成します。
プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。
ポリシーパラメーターを構成します。
ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
システムポリシー:Alibaba Cloud によって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloud によって維持されます。詳細については、「RAM で動作するサービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチすることによって、不要な権限を付与しないことをお勧めします。
カスタムポリシー:ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーを作成する」をご参照ください。
[権限の付与] をクリックします。
[閉じる] をクリックします。