本ドキュメントでは、RAM にポリシーを作成して RAM ユーザーの SLB 権限を管理する方法について説明します。
共通ポリシー
次の表は、SLB のアクセス許可を管理するために RAM に作成できる共通ポリシーの一覧です。
ポリシー | 説明 |
---|---|
AliyunSLBFullAccess | SLB インスタンスに対する完全な管理権限を RAM ユーザーに付与します。 |
AliyunSLBReadOnlyAccess | SLB インスタンスに対する RAM ユーザーに読み取り専用権限を付与します。 |
注 SLB 権限の詳細は、RAM の権限付与 をご参照ください。
RAM ユーザーへのカスタムポリシーのアタッチ
- 本文の SLB 権限付与の例に従ってカスタムポリシーを作成します。
詳細は、カスタマイズポリシーの作成 をご参照ください。
- 対象のポリシーを見つけてクリックします。
- リファレンスタブで、権限の付与 をクリックします
- プリンシパルフィールドに、対象 RAM ユーザーの ID または名前を入力します。
- OK をクリックします。
注 必要に応じて、RAM ユーザーまたは RAM ユーザーグループにポリシーをアタッチすることもできます。 詳細は、RAM での権限付与 をご参照ください.
SLB 権限付与の例
- 例 1:複数のインスタンスを持つ RAM 管理者として、ユーザーに 2 つのインスタンスのみを操作する権限を付与します。
これら 2 つの SLB インスタンスの ID は、i-001 と i-002 とします。
{ "Statement": [ { "Effect": "Allow", "Action": "slb:*", "Resource": [ "acs:slb:*:*:loadbalancer/i-001", "acs:slb:*:*:loadbalancer/i-002" ] }, { "Effect": "Allow", "Action": "slb:Describe*", "Resource": "*" } ], "Version": "1" }
注- 権限付与された RAM ユーザーは、すべての SLB インスタンスを表示できますが、操作できるのはそのうちの 2 つのみです。
- ポリシーには
Describe*
要素が必要です。 ポリシーにDescribe*
要素が含まれていない場合、権限付与された RAM ユーザーはコンソールにインスタンスを表示できません。 ただし、RAM ユーザーは、API の呼び出し、CLI の使用、または SLB SDK の使用によって、指定された 2 つの SLB インスタンスを操作できます。
- 例 2:RAM 管理者として、ユーザーに SLB インスタンスに ECS インスタンスを追加する権限を付与します。 SLB インスタンスの ID は i-001 とします。
{ "Statement": [ { "Effect": "Allow", "Action": "slb:AddBackendServers", "Resource": ["acs:slb:*:*:loadbalancer/slb-001"] }, { "Effect": "Allow", "Action": "slb:AddBackendServers", "Resource": ["acs:ecs:*:*:instance/i-001"] }, { "Effect": "Allow", "Action": "slb:DescribeLoadBalancers", "Resource": "acs:slb:*:*:loadbalancer/*" } ], "Version": "1" }
注 例 1 のポリシーに従って SLB 管理権限を RAM ユーザーに付与した後、ユーザーが ECS インスタンスを追加または削除したり、必要に応じて ECS インスタンスの重みを設定できるように、次の権限をユーザーに付与する必要もあります。- SLB リソースに対する権限付与
- ECS リソースに対する権限付与
- 例 3:RAM 管理者として、ユーザーに指定された SLB インスタンスに対して ECS 関連の操作を実行する権限を付与します。
{ "Statement": [ { "Effect": "Allow", "Action": "slb:*", "Resource": [ "acs:slb:*:*:loadbalancer/i-001", "acs:slb:*:*:loadbalancer/i-002" ] }, { "Effect": "Allow", "Action": "slb:Describe*", "Resource": "*" }, { "Effect": "Allow", "Action": "slb:*", "Resource": "acs:ecs:*:*:*" } ], "Version": "1" }
注 前述のポリシーにより、RAM ユーザーは 2 つの指定された SLB インスタンス(ID:i-001 および i-002)を管理し、これら 2 つの SLB インスタンスに対して ECS 関連のすべての操作を実行できます。たとえば、これら 2 つの SLB インスタンスに対する ECS インスタンスの追加や、ECS の重みの設定を行うなど。