本ドキュメントでは、RAM にポリシーを作成して RAM ユーザーの SLB 権限を管理する方法について説明します。

共通ポリシー

次の表は、SLB のアクセス許可を管理するために RAM に作成できる共通ポリシーの一覧です。

ポリシー 説明
AliyunSLBFullAccess SLB インスタンスに対する完全な管理権限を RAM ユーザーに付与します。
AliyunSLBReadOnlyAccess SLB インスタンスに対する RAM ユーザーに読み取り専用権限を付与します。
SLB 権限の詳細は、RAM の権限付与 をご参照ください。

RAM ユーザーへのカスタムポリシーのアタッチ

  1. 本文の SLB 権限付与の例に従ってカスタムポリシーを作成します。

    詳細は、カスタマイズポリシーの作成 をご参照ください。

  2. 対象のポリシーを見つけてクリックします。
  3. リファレンスタブで、権限の付与 をクリックします
  4. プリンシパルフィールドに、対象 RAM ユーザーの ID または名前を入力します。
  5. OK をクリックします。
    必要に応じて、RAM ユーザーまたは RAM ユーザーグループにポリシーをアタッチすることもできます。 詳細は、RAM での権限付与 をご参照ください.

SLB 権限付与の例

  • 例 1:複数のインスタンスを持つ RAM 管理者として、ユーザーに 2 つのインスタンスのみを操作する権限を付与します。
    これら 2 つの SLB インスタンスの ID は、i-001 と i-002 とします。
    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "slb:*",
          "Resource": [
                      "acs:slb:*:*:loadbalancer/i-001",
                      "acs:slb:*:*:loadbalancer/i-002"
                      ]
        },
        {
          "Effect": "Allow",
          "Action": "slb:Describe*",
          "Resource": "*"
        }
      ],
      "Version": "1"
    }
    • 権限付与された RAM ユーザーは、すべての SLB インスタンスを表示できますが、操作できるのはそのうちの 2 つのみです。
    • ポリシーには Describe* 要素が必要です。 ポリシーに Describe* 要素が含まれていない場合、権限付与された RAM ユーザーはコンソールにインスタンスを表示できません。 ただし、RAM ユーザーは、API の呼び出し、CLI の使用、または SLB SDK の使用によって、指定された 2 つの SLB インスタンスを操作できます。
  • 例 2:RAM 管理者として、ユーザーに SLB インスタンスに ECS インスタンスを追加する権限を付与します。 SLB インスタンスの ID は i-001 とします。
    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "slb:AddBackendServers",
          "Resource": ["acs:slb:*:*:loadbalancer/slb-001"]
        },
        {
          "Effect": "Allow",
          "Action": "slb:AddBackendServers",
          "Resource": ["acs:ecs:*:*:instance/i-001"]
        },
        {
            "Effect": "Allow",
            "Action": "slb:DescribeLoadBalancers",
            "Resource": "acs:slb:*:*:loadbalancer/*"
        }
      ],
      "Version": "1"
    }
    例 1 のポリシーに従って SLB 管理権限を RAM ユーザーに付与した後、ユーザーが ECS インスタンスを追加または削除したり、必要に応じて ECS インスタンスの重みを設定できるように、次の権限をユーザーに付与する必要もあります。
    • SLB リソースに対する権限付与
    • ECS リソースに対する権限付与
  • 例 3:RAM 管理者として、ユーザーに指定された SLB インスタンスに対して ECS 関連の操作を実行する権限を付与します。
    {
      "Statement": [
        {
          "Effect": "Allow",
          "Action": "slb:*",
          "Resource": [
                      "acs:slb:*:*:loadbalancer/i-001",
                      "acs:slb:*:*:loadbalancer/i-002"
                      ]
        },
        {
          "Effect": "Allow",
          "Action": "slb:Describe*",
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": "slb:*",
          "Resource": "acs:ecs:*:*:*"
        }
      ],
      "Version": "1"
    }
    前述のポリシーにより、RAM ユーザーは 2 つの指定された SLB インスタンス(ID:i-001 および i-002)を管理し、これら 2 つの SLB インスタンスに対して ECS 関連のすべての操作を実行できます。たとえば、これら 2 つの SLB インスタンスに対する ECS インスタンスの追加や、ECS の重みの設定を行うなど。