複数のエンドユーザーがElastic Desktop Service (EDS) のリソースに同時にアクセスするシナリオでは、複数のRAM (Resource access Management) ユーザーを作成し、ロールに基づいてRAMユーザーに権限を付与できます。 これにより、異なるRAMユーザーが異なるリソースにアクセスして管理できます。 これにより、管理効率を向上させ、データ漏洩のリスクを軽減できます。 このトピックでは、リソース認証を使用してRAMユーザーの権限を制御する方法について説明します。 これにより、RAMユーザーは、異なるクラウドコンピュータリソースに対して異なるアクセス権限と操作権限を持つことができます。
前提条件
RAMユーザーが作成されます。 RAMユーザーの作成方法の詳細については、「RAMユーザーの作成」をご参照ください。
背景情報
Alibaba Cloudは、ポリシーベースのアクセス制御を提供します。 ロールごとにRAMユーザーのポリシーを設定できます。 カスタムリソースレベルのポリシーを作成し、1つ以上のポリシーをRAMユーザーまたはユーザーグループにアタッチできます。 ポリシーの詳細については、「ポリシーの概要」をご参照ください。
RAMは操作による承認をサポートします。 リソースレベルの認証を使用すると、クラウドコンピューターのリソースをより柔軟に管理できます。 RAMの詳細については、「」をご参照ください。RAMとは何ですか?
利用可能なリージョン
次の表に、リソースレベルのポリシーを使用してRAMユーザーの権限を管理できるリージョンを示します。
リージョン | リージョン ID |
中国 (杭州) | cn-hangzhou |
中国 (上海) | cn-shanghai |
中国 (深セン) | cn-shenzhen |
中国 (北京) | cn-beijing |
シンガポール | ap-southeast-1 |
日本 (東京) | ap-northeast-1 |
フィリピン (マニラ) | ap-southeast-6 |
シナリオ
次の表に、さまざまなシナリオでリソースレベルのポリシーをRAMユーザーにアタッチする方法を示します。
シナリオ | ポリシー |
シナリオ1: クラウドコンピューターを作成し、認証用のリソースレベルのポリシーを設定します。 クラウドコンピューターを2台作成します。
| RAMユーザーは、デスクトップ1の特定のリソースで操作を実行できます。 RAMユーザーはデスクトップ2で操作を実行できません。 |
シナリオ2: リソースレベルのポリシーを設定し、クラウドコンピュータを作成します。 | RAMユーザーは、指定されたリージョン (中国 (杭州) リージョンなど) でのみクラウドコンピューターを作成できます。 |
シナリオ1
クラウドコンピューターを2台作成します。 詳細については、「クラウドコンピューターの作成」をご参照ください。
2つのクラウドコンピュータをデスクトップ1とデスクトップ2と名付けることができます。
カスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。
このセクションのカスタムポリシーを使用すると、RAMユーザーはEDSコンソールで、またはEDS APIを呼び出して、デスクトップ1のリソースを表示、変更、削除できます。
次のサンプルコードは、ポリシーの例を示します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-akk6qnr7cc9yq****" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:ecddesktop/ecd-3d3y5w4vd56a8****" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] }EDSリソースに対するアクセス権限を管理するRAMユーザーにカスタムポリシーをアタッチします。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
ECSコンソールで、またはEDS APIを呼び出して、desktop1およびdesktop2を表示、変更、または削除します。
RAMユーザーは、desktop1のリソースのみを表示、変更、または削除できます。 RAMユーザーがデスクトップ2で操作を実行すると、次のメッセージが表示されます。 この場合、カスタムポリシーが有効になります。
シナリオ2
RAM コンソールにログインします。
カスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。
このセクションで作成されるカスタムポリシーを使用すると、RAMユーザーは中国 (上海) リージョンでのみクラウドコンピューターを管理できます。 つまり、RAMユーザーは、EDSコンソールを使用するか、EDS APIを呼び出すことによってのみ、中国 (上海) リージョンにデプロイされているクラウドコンピューターのリソースを作成、表示、または削除できます。
次のサンプルコードは、ポリシーの例を示します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ecd:*", "Resource": "acs:ecd:cn-shanghai:128985087662****:*" }, { "Effect": "Deny", "Action": "ecd:*", "Resource": "acs:ess:cn-hangzhou:128985087662****:*" }, { "Action": "*", "Effect": "Allow", "Resource": [ "acs:ecd:*:*:officesite/*", "acs:ecd:*:*:ecdpolicy/*", "acs:ecd:*:*:ecdimage/*", "acs:ecd:*:*:ecdbundle/*" ] }, { "Effect": "Allow", "Action": [ "ecd:DescribeRegions" ], "Resource": "*" } ] }EDSリソースに対するアクセス権限を管理するRAMユーザーにカスタムポリシーをアタッチします。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
EDSコンソールで、またはEDS APIを呼び出してクラウドコンピューターを作成します。
RAMユーザーは、中国 (上海) リージョンのクラウドコンピューターのリソースを作成、表示、または削除できます。 RAMユーザーが中国 (杭州) リージョンのクラウドコンピューターで操作を実行すると、次のメッセージが表示されます。 この場合、カスタムポリシーが有効になります。
