複数のユーザーがリソースを共有する場合、役割と責任に応じて異なる権限を付与することで、管理効率を向上させ、データ漏洩のリスクを軽減できます。リソースレベルのポリシーを使用すると、各 RAM ユーザーがアクセスおよび操作できるクラウドデスクトップリソースを制御できます。
前提条件
RAM ユーザーを作成済みであること。詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
制限
この機能は、以下のリージョンでのみ利用できます。
|
リージョン |
リージョン ID |
|
中国 (杭州) |
cn-hangzhou |
|
中国 (上海) |
cn-shanghai |
|
中国 (深セン) |
cn-shenzhen |
|
中国 (北京) |
cn-beijing |
|
シンガポール |
ap-southeast-1 |
|
日本 (東京) |
ap-northeast-1 |
|
フィリピン (マニラ) |
ap-southeast-6 |
例
以下のシナリオでは、リソースレベルのポリシーの実装方法を示します。
|
シナリオの説明 |
権限の説明 |
|
シナリオ 1:最初にクラウドデスクトップを作成してから、リソースレベルのポリシーを設定します。たとえば、2 つのクラウドデスクトップを作成します。
|
ユーザーがクラウドデスクトップ 1 (desktop1) に対してすべての操作を実行できるようにしますが、クラウドデスクトップ 2 (desktop2) に対するすべての操作を拒否します。 |
|
シナリオ 2:最初にリソースレベルのポリシーを設定してから、クラウドデスクトップを作成します。 |
ユーザーが上海など特定のリージョンでのみクラウドデスクトップを作成できるようにしますが、杭州など他のリージョンでのクラウドデスクトップ作成は拒否します。 |
シナリオ 1:クラウドデスクトップを作成してからポリシーを設定
-
2 つのクラウドデスクトップを作成します。詳細については、「クラウドデスクトップの作成」をご参照ください。
2 つのクラウドデスクトップに desktop1 と desktop2 という名前を付けることができます。
-
カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
このカスタムポリシーを使用すると、ユーザーは Elastic Desktop Service (EDS) コンソールまたは API 操作の呼び出しによって、クラウドコンピューター desktop1 を表示、変更、削除できますが、desktop2 に対するこれらの操作は拒否されます。
以下のコードは、ポリシーのサンプルです。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] } -
アクセスを制御したい RAM ユーザーにカスタムポリシーを付与します。詳細については、「RAM ユーザー権限の管理」をご参照ください。
-
Elastic Desktop Service (EDS) コンソールで、または API 操作を呼び出して、desktop1 と desktop2 を表示、変更、削除します。
desktop1 は表示、変更、削除できますが、desktop2 に対してこれらの操作は実行できません。desktop2 に対してこれらの操作を試みると、
User not authorized to operate on the specified resource.エラーが返されます。
シナリオ 2:ポリシーを設定してからクラウドデスクトップを作成
-
RAM コンソールにログオンします。
-
カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
このカスタムポリシーは、ユーザーが中国 (上海) リージョンで Elastic Desktop Service (EDS) コンソールまたは API コールを介してクラウドコンピューターを管理 (作成、表示、削除) することを許可しますが、中国 (杭州) リージョンではこれらの操作を拒否します。
以下のコードは、ポリシーのサンプルです。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:*" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ecd:cn-hangzhou:128985087662****:*" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] } -
アクセスを制御したい RAM ユーザーにカスタムポリシーを付与します。詳細については、「RAM ユーザー権限の管理」をご参照ください。
-
Elastic Desktop Service (EDS) コンソールで、または API 操作を呼び出して、クラウドコンピューターを作成します。
中国 (上海) リージョンでクラウドデスクトップを作成、表示、削除できますが、中国 (杭州) リージョンではこれらの操作を実行できません。中国 (杭州) リージョンでこれらの操作を試みると、
User not authorized to operate on the specified resource.エラーが返されます。