すべてのプロダクト
Search
ドキュメントセンター

Server Migration Center:タグを使用したきめ細かなアクセス制御

最終更新日:Jun 11, 2026

Server Migration Center (SMC) リソースにタグを使用して分類し、異なる RAM ユーザーに特定のアクセス権限を付与します。

前提条件

Alibaba Cloud アカウント配下に RAM ユーザーが作成されていること。詳細については、「RAM ユーザーを作成する」をご参照ください。

背景情報

タグはクラウドリソースを識別し、分類します。Resource Access Management (RAM) のポリシーは、アクセス権限と操作権限を制御します。RAM ポリシーに条件としてタグを追加すると、きめ細かなアクセス制御を実現できます。

次の図は、RAM ユーザーへのタグベースの権限制御を示しています。786

説明

タグをサポートする SMC リソースには、移行元と移行ジョブが含まれます。移行元にタグを追加できるのは、作成後のみです。詳細については、「タグを使用して移行元と移行ジョブを管理する」をご参照ください。

ユースケース例

次のシナリオは、タグベースのアクセス制御を示しています。

次の図に示すように、RAM ユーザーが smc:test などの特定のタグが付いた SMC リソースのみを管理できるようにします。dad89

この例では、次の 2 つのシナリオを扱います:

  • シナリオ 1:作成時に smc:test タグが追加されている場合にのみ、移行ジョブを作成できます。

  • シナリオ 2:プロパティの変更、リソースの削除、タグの管理などの操作は、smc:test タグが付いた SMC リソースに対してのみ実行できます。

手順 1:カスタムポリシーの作成と権限付与

RAM コンソールでカスタムポリシーを作成するか、CreatePolicy API を呼び出します。ポリシーの詳細は、「Policy configuration」セクションに記載されています。

  1. Alibaba Cloud アカウントでRAM コンソールにログインします。

  2. 左側のナビゲーションペインで、Permissions > Policies を選択します。

  3. Policies ページで、ポリシーの作成 をクリックします。

  4. ポリシーの作成 ページで、[JSON] タブをクリックします。

  5. ポリシーを設定します。

    ポリシーは、バージョン番号とステートメントで構成されます。各ステートメントには、エフェクト、アクション、リソース、および任意の条件が含まれます。詳細については、「Policy elements」と「Policy structure and syntax」をご参照ください。

    1. 必要に応じてポリシードキュメントを変更した後、OK をクリックします。

      Condition ブロックに、タグベースの条件を追加して権限を制限します。次の表に、サポートされている条件キーを示します。

      条件キー

      説明

      acs:RequestTag

      リクエストに特定のタグが含まれていることを要求します。

      API オペレーションがリクエスト内のタグをサポートしていない場合、この条件キーは使用できません。使用すると、認証に失敗します。

      acs:ResourceTag

      アクセス対象のリソースに特定のタグが付いていることを要求します。

      API オペレーションがリクエストでリソース ID を要求しない場合、この条件キーは使用できません。使用すると、認証に失敗します。

      説明

      API オペレーションに応じて、acs:RequestTag または acs:ResourceTag を選択します。判断基準は、リソース ID が必要かどうか、またはリクエストでのタグ指定をサポートしているかどうかです。詳細については、「Tag-based authentication for API operations」をご参照ください。

      {
          "Statement": [
              {
                  "Action": "smc:CreateReplicationJob",
                  "Condition": {
                      "StringEquals": {
                          "acs:RequestTag/smc": "test"
                      }
                  },
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": "smc:*",
                  "Condition": {
                      "StringEquals": {
                          "acs:ResourceTag/smc": "test"
                      }
                  },
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                "Action": [
                      "*:TagResources",
                      "*:UntagResources"  
                   ],
                  "Effect": "Deny",
                  "Resource": "*"
              },
              {
                  "Action": [
                      "*:List*",
                      "*:Describe*"
                  ],
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }

      前述のポリシーは、次の権限制御を実現します。

      シナリオ

      ポリシー

      シナリオ 1:作成時に smc:test タグが追加されている場合にのみ、移行ジョブの作成が許可されます。

      {
          "Statement": [
              {
                  "Action": "smc:CreateReplicationJob",
                  "Condition": {
                      "StringEquals": {
                          "acs:RequestTag/smc": "test"
                      }
                  },
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                  "Action": [
                      "*:List*",
                      "*:Describe*"
                  ],
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }

      シナリオ 2:smc:test タグが付いた SMC リソースに対してのみ操作 (プロパティの変更やリソースの削除など) が許可されます。その他の SMC リソースに対する操作は拒否されます。

      {
          "Statement": [
              {
                  "Action": "smc:*",
                  "Condition": {
                      "StringEquals": {
                          "acs:ResourceTag/smc": "test"
                      }
                  },
                  "Effect": "Allow",
                  "Resource": "*"
              },
              {
                "Action": [
                      "*:TagResources",
                      "*:UntagResources"
                  ],
                  "Effect": "Deny",
                  "Resource": "*"
              },
              {
                  "Action": [
                      "*:List*",
                      "*:Describe*"
                  ],
                  "Effect": "Allow",
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }                                                  
    2. ポリシーの作成 ダイアログボックスで、ポリシーの名前と説明を入力し、OK をクリックします。

  6. カスタムポリシーを RAM ユーザーにアタッチします。

    1. 左側のナビゲーションペインで、Identities > Users を選択します。

    2. 新しく作成したカスタムポリシーを RAM ユーザーにアタッチします。

      詳細については、「RAM ユーザーの権限を管理する」をご参照ください。

手順 2:ポリシーの検証

  1. RAM ユーザーとして SMC コンソールまたはOpenAPI Explorer にログインします。

    この例では、SMC コンソールを使用して検証します。

  2. ポリシーが正しく動作することを確認します。

    次の権限をテストします:

    • 移行ジョブを作成する:

      • 移行ジョブの作成時に smc:test タグを追加すると、移行ジョブを作成できます。

      • 移行ジョブの作成時に smc:test タグを追加しない場合、移行ジョブは作成できません。エラーメッセージ「You are not authorized to perform this operation. Contact your Alibaba Cloud account to grant the required permissions and then try again.」が表示されます。権限を付与するには、[Go to RAM for Authorization] をクリックします。

    • 移行元を削除する:

      • smc:test タグが付いた移行元は削除できます。

      • smc:test タグが付いていない移行元を削除しようとすると、操作は失敗します。[Error] ダイアログボックスが表示され、メッセージ「You are not authorized to perform this operation. Contact your Alibaba Cloud account to grant the required permissions and then try again.」が表示されます。[OK] をクリックしてダイアログボックスを閉じます。

API オペレーションのタグベース認証

タグベースのポリシーを RAM ユーザーにアタッチすると、APIリクエストは次の表に示すように認証されます。

API

認証ロジック

CreateReplicationJob

このオペレーションではリソース ID は不要です。認証は acs:RequestTag 条件に基づいて行われます。

  • リクエストにタグがない場合、またはリクエスト内のタグに許可されたタグが含まれていない場合、認証は失敗します。

  • リクエストに含まれるタグが、許可されたタグと完全に一致するか、または許可されたタグを含んでいる場合、認証に成功します。

ModifyReplicationJobAttribute

このオペレーションではリソース ID が必要です。認証は acs:ResourceTag 条件に基づいて行われます。

  • リソースのタグがポリシー条件に一致しない場合、失敗します。

  • リソースのタグが一致し、かつタグを変更しない場合、成功します。

  • リソースのタグが一致していても、タグも変更する場合は、新しいタグに対する権限がある場合にのみ成功します。そうでない場合、認証に失敗します。

StartReplicationJob、StopReplicationJob、DeleteSourceServer などのその他のオペレーション

これらのオペレーションではリソース ID が必要です。認証は acs:ResourceTag 条件に基づいて行われます。

  • リソースのタグがポリシー条件に一致しない場合、失敗します。

  • リソースのタグがポリシー条件に一致する場合、成功します。