このトピックでは、RAM コンソールでカスタムポリシーを作成し、RAM ユーザーにアタッチして、RAM ユーザーの VPC 権限を管理する方法について説明します。

始める前に

Alibaba Cloud アカウントが登録済みです。 詳細は、アカウント登録ページにアクセスしてください。

一般的なシステムポリシー

次の表に、RAM コンソールを使用して VPC 権限を管理できるシステムポリシーを示します。
ポリシー 説明
AliyunVPCFullAccess RAM ユーザーに VPC を管理する権限を付与します。
AliyunVPCReadOnlyAccess RAM ユーザーに VPC の読み取り専用権限を付与します。
VPC 権限の詳細は、「RAM の権限付与」をご参照ください。

RAM ユーザーへのカスタムポリシーのアタッチ

  1. 後述の VPC 許可の例に従って、カスタムポリシーを作成します。
    詳細は、「カスタマイズポリシーの作成」と「VPC 許可の例」をご参照ください。
  2. [ポリシー] ページで、対象のポリシー名をクリックします。
  3. [参照履歴] タブをクリックし、[権限の付与] をクリックします。
  4. [権限の追加] ダイアログボックスの [プリンシパル] フィールドに RAM ユーザーの名前か ID を入力し、[OK] をクリックします。
    既存のポリシーを RAM ユーザーまたは RAM ユーザーグループにアタッチすることもできます。 詳細は、「RAM ユーザーへの権限付与」と「RAM ユーザーグループへの権限付与」をご参照ください。

VPC 許可の例

  • 例 1:RAM ユーザーに対して、アカウント配下の VPC の管理を許可

    RAM ユーザーに対して、アカウント 1234567 配下のすべての VPC の管理を許可するには、次のスクリプトを使用します。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*"
                ],
                "Resource": [
                    "acs:vpc:*:1234567:*/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 例 2:RAM ユーザーに対して、VPC 内の VSwitch の管理を許可

    RAM ユーザーに対して、中国 (青島) リージョンの VPC にある VSwitch のサブネットルートの作成、削除、関連付け、関連付けの解除を許可するには、次のスクリプトを使用します。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*",
                    "vpc:*VSwitch*",
                    "vpc:*RouteTable*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:*/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 例 3:RAM ユーザーに対して、特定のリージョンのルートテーブルと関連するルートエントリの管理を許可

    RAM ユーザー 11111111 に対して、中国 (杭州) リージョンの VPC の管理を許可するには、次のスクリプトを使用します。 この許可により、RAM ユーザーはルートエントリの追加または削除、サブネットルートの作成、中国 (杭州) リージョンの VSwitch の関連付け、他のリージョンのクラウドプロダクトの表示が可能になります。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "slb:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "rds:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*",
                    "vpc:*RouteEntry*",
                    "vpc:*RouteTable*"
                ],
                "Resource": [                
    "acs:vpc:cn-hangzhou:11111111:*/*"
                ],
                "Condition": {}
            }
        ]
    }
  • 例 4:RAM ユーザーに対して、特定のルートテーブル内のルートエントリの追加または削除を許可

    RAM ユーザーに対して、特定のルートテーブル内のルートエントリの追加または削除を許可するには、次のスクリプトを使用します。

    {
        "Version": "1",
        "Statement": [
            {
    "Effect": "Allow ",
                "Action": [
                    "vpc:*RouteEntry*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }