すべてのプロダクト
Search
ドキュメントセンター

Elastic Desktop Service:リソースレベルのポリシーによるクラウドデスクトップの管理

最終更新日:Jun 22, 2026

複数のユーザーがリソースを共有する場合、役割と責任に応じて異なる権限を付与することで、管理効率を向上させ、データ漏洩のリスクを軽減できます。リソースレベルのポリシーを使用すると、各 RAM ユーザーがアクセスおよび操作できるクラウドデスクトップリソースを制御できます。

前提条件

RAM ユーザーを作成済みであること。詳細については、「RAM ユーザーの作成」をご参照ください。

背景情報

  • Alibaba Cloud では、ポリシーを使用してユーザー権限を管理します。さまざまな役割に対して Resource Access Management (RAM) ポリシーを設定し、リソースレベルでカスタムポリシーを作成して、RAM ユーザーまたはユーザーグループにアタッチできます。詳細については、「ポリシーの概要」をご参照ください。

  • RAM ではアクションレベルの権限付与がサポートされていますが、リソースレベルのポリシーを使用することで、クラウドデスクトップリソースに対するよりきめ細かい制御が可能になります。RAM の詳細については、「RAM とは」をご参照ください。

制限

この機能は、以下のリージョンでのみ利用できます。

リージョン

リージョン ID

中国 (杭州)

cn-hangzhou

中国 (上海)

cn-shanghai

中国 (深セン)

cn-shenzhen

中国 (北京)

cn-beijing

シンガポール

ap-southeast-1

日本 (東京)

ap-northeast-1

フィリピン (マニラ)

ap-southeast-6

以下のシナリオでは、リソースレベルのポリシーの実装方法を示します。

シナリオの説明

権限の説明

シナリオ 1:最初にクラウドデスクトップを作成してから、リソースレベルのポリシーを設定します。たとえば、2 つのクラウドデスクトップを作成します。

  • クラウドデスクトップ 1: desktop1

  • クラウドデスクトップ 2: desktop2

ユーザーがクラウドデスクトップ 1 (desktop1) に対してすべての操作を実行できるようにしますが、クラウドデスクトップ 2 (desktop2) に対するすべての操作を拒否します。

シナリオ 2:最初にリソースレベルのポリシーを設定してから、クラウドデスクトップを作成します。

ユーザーが上海など特定のリージョンでのみクラウドデスクトップを作成できるようにしますが、杭州など他のリージョンでのクラウドデスクトップ作成は拒否します。

シナリオ 1:クラウドデスクトップを作成してからポリシーを設定

  1. 2 つのクラウドデスクトップを作成します。詳細については、「クラウドデスクトップの作成」をご参照ください。

    2 つのクラウドデスクトップに desktop1 と desktop2 という名前を付けることができます。

  2. カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。

    このカスタムポリシーを使用すると、ユーザーは Elastic Desktop Service (EDS) コンソールまたは API 操作の呼び出しによって、クラウドコンピューター desktop1 を表示、変更、削除できますが、desktop2 に対するこれらの操作は拒否されます。

    以下のコードは、ポリシーのサンプルです。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "ecd:*",
          "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****"
        },
        {
          "Effect": "Deny",
          "Action": "ecd:*",
          "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****"
        },
        {
          "Action": "*",
          "Effect": "Allow",
          "Resource": [
            "acs:ecd:*:*:officesite/*",
            "acs:ecd:*:*:ecdpolicy/*",
            "acs:ecd:*:*:ecdimage/*",
            "acs:ecd:*:*:ecdbundle/*"
          ]
        },
        {
          "Effect": "Allow",
          "Action": [
            "ecd:DescribeRegions"
          ],
          "Resource": "*"
        }
      ]
    }
                            
  3. アクセスを制御したい RAM ユーザーにカスタムポリシーを付与します。詳細については、「RAM ユーザー権限の管理」をご参照ください。

  4. Elastic Desktop Service (EDS) コンソールで、または API 操作を呼び出して、desktop1 と desktop2 を表示、変更、削除します。

    desktop1 は表示、変更、削除できますが、desktop2 に対してこれらの操作は実行できません。desktop2 に対してこれらの操作を試みると、User not authorized to operate on the specified resource. エラーが返されます。

シナリオ 2:ポリシーを設定してからクラウドデスクトップを作成

  1. RAM コンソールにログオンします。

  2. カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。

    このカスタムポリシーは、ユーザーが中国 (上海) リージョンで Elastic Desktop Service (EDS) コンソールまたは API コールを介してクラウドコンピューターを管理 (作成、表示、削除) することを許可しますが、中国 (杭州) リージョンではこれらの操作を拒否します。

    以下のコードは、ポリシーのサンプルです。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "ecd:*",
                "Resource": "acs:ecd:cn-shanghai:128985087662****:*"
            },
            {
                "Effect": "Deny",
                "Action": "ecd:*",
                "Resource": "acs:ecd:cn-hangzhou:128985087662****:*"
            },
            {
                "Action": "*",
                "Effect": "Allow",
                "Resource": [
                    "acs:ecd:*:*:officesite/*",
                    "acs:ecd:*:*:ecdpolicy/*",
                    "acs:ecd:*:*:ecdimage/*",
                    "acs:ecd:*:*:ecdbundle/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecd:DescribeRegions"
                ],
                "Resource": "*"
            }
        ]
    }
  3. アクセスを制御したい RAM ユーザーにカスタムポリシーを付与します。詳細については、「RAM ユーザー権限の管理」をご参照ください。

  4. Elastic Desktop Service (EDS) コンソールで、または API 操作を呼び出して、クラウドコンピューターを作成します。

    中国 (上海) リージョンでクラウドデスクトップを作成、表示、削除できますが、中国 (杭州) リージョンではこれらの操作を実行できません。中国 (杭州) リージョンでこれらの操作を試みると、User not authorized to operate on the specified resource. エラーが返されます。