すべてのプロダクト
Search

このプロダクト

    CloudFlow:RAM ユーザーの承認

    ドキュメントセンター

    CloudFlow:RAM ユーザーの承認

    最終更新日:Jan 12, 2025

    このトピックでは、サーバーレス ワークフロー へのアクセス権を Resource Access Management (RAM) ユーザーに付与する方法と、ユーザー権限ポリシーを設定する方法について説明します。

    背景情報

    Alibaba Cloud アカウントのユーザー名とパスワードを使用してサーバーレス ワークフロー コンソールにログオンする場合、または AdministratorAccess で承認された RAM ユーザーを使用してサービスにアクセスする場合は、このトピックをスキップして、サービスに直接アクセスできます。アクセス許可が制限されている RAM ユーザーを使用する場合は、次の手順を実行してアクセス許可ポリシーを設定します。

    手順

    1. RAM コンソール にログオンします。左側のナビゲーションペインで、[権限] > [ポリシー] を選択します。表示されるページで、[ポリシーの作成] をクリックします。次の JSON コンテンツをポリシーコンテンツとして使用し、FnFRAMUserPolicy という名前のポリシーを作成します。
      {
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:PassRole",
"Resource": "*"
},
{
"Action": "fc:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "fnf:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "oss:*",
"Resource": "acs:oss:*:*:fun-gen-*",
"Effect": "Allow"
},
{
"Action": "ros:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": "ram:CreateRole",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ram:GetPolicy",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ram:CreatePolicy",
"Resource": "acs:ram:*:*:policy/*"
},
{
"Effect": "Allow",
"Action": "ram:DeletePolicy",
"Resource": [
"acs:ram:*:*:policy/fnf-sample*"
]
},
{
"Effect": "Allow",
"Action": "ram:AttachPolicyToRole",
"Resource": [
"acs:ram:*:*:role/fnf-sample*",
"acs:ram:*:*:role/fnf-execution-default-role*",
"acs:ram:*:*:policy/fnf-sample*",
"acs:ram:*:system:policy/AliyunECSNetworkInterfaceManagementAccess",
"acs:ram:*:system:policy/AliyunFCInvocationAccess",
"acs:ram:*:system:policy/AliyunFnFFullAccess",
"acs:ram:*:system:policy/AliyunMNSFullAccess"
]
},
{
"Effect": "Allow",
"Action": "ram:DetachPolicyFromRole",
"Resource": [
"acs:ram:*:*:role/fnf-sample*",
"acs:ram:*:*:role/fnf-execution-default-role*",
"acs:ram:*:*:policy/fnf-sample*",
"acs:ram:*:system:policy/AliyunECSNetworkInterfaceManagementAccess",
"acs:ram:*:system:policy/AliyunFCInvocationAccess",
"acs:ram:*:system:policy/AliyunFnFFullAccess",
"acs:ram:*:system:policy/AliyunMNSFullAccess"
]
},
{
"Effect": "Allow",
"Action": "ram:ListRoles",
"Resource": "acs:ram:*:*:role/*"
},
{
"Effect": "Allow",
"Action": "ram:GetRole",
"Resource": "acs:ram:*:*:role/*"
},
{
"Effect": "Allow",
"Action": "ram:DeleteRole",
"Resource": [
"acs:ram:*:*:role/fnf-sample*"
]
},
{
"Effect": "Allow",
"Action": "ram:ListPoliciesForRole",
"Resource": "acs:ram:*:*:role/*"
}
]
}
    2. RAM コンソール で、左側のナビゲーションペインの [ID] > [ユーザー] を選択します。次に、前の手順で作成したポリシーを、サーバーレス ワークフローを使用する RAM ユーザーにバインドします。
      説明
      • 前述の RAM ユーザー権限は、基本操作に適用されます。コンソールでより多くのクラウド リソースを含むアプリケーション テンプレートとサンプル プロジェクトを使用する場合に権限が不十分な場合は、対応する権限を RAM ユーザーに追加します。
      • 権限の粒度を制御するために、例にある AttachPolicyToRole などの機密性の高い RAM 操作は、fnf-sample または fnf-execution-default-role というプレフィックスが付いたロールとポリシーに対してのみ実行できます。サンプル プロジェクト名またはデフォルトのアプリケーション センター名を変更する必要がある場合は、必要に応じて上記のポリシーを変更してください。