Alibaba Cloud アカウントはマスターアカウント、RAM ユーザーはサブアカウントです。マスターアカウントは、DTS タスクの購入や管理が可能です。サブアカウントは、マスターアカウントに許可された後、同様の作業が可能です。
このトピックでは、サブアカウントを使用して DTS にアクセスする方法について説明します。
サブアカウントの定義
DTS は現在、サブアカウントに対して 2 つのアクセスポリシーのみをサポートしています (読み書きと読み取り専用)。DTS は、API 粒度でのアクセス許可をサポートしていません。読み書きポリシーと読み取り専用ポリシーは、RAM によって提供されます。
- 読み書きポリシー
読み書きポリシーの名前は AliyunDTSFullAccess で、次のように定義されています。
{
"Version": "1",
"Statement": [
{
"Action": "dts:*",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:PassRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"acs:Service": "dts.aliyuncs.com"
}
}
}
]
}
読み書きポリシーには、すべての DTS 読み取り権限と書き込み権限があります。このポリシーを持つサブアカウントは、DTS インスタンスの購入、設定、管理など、DTS のライフサイクル全体を管理できます。
- 読み取り専用ポリシー
読み取り専用ポリシーの名前は AliyunDTSReadOnlyAccess で、次のように定義されています。
{
"Version": "1",
"Statement": [
{
"Action": "dts:Describe*",
"Resource": "*",
"Effect": "Allow"
}
]
}
読み取り専用ポリシーには、すべての DTS 読み取り権限があります。このポリシーを持つサブアカウントは、マスターアカウント配下のすべての DTS タスクの詳細を表示できますが、購入、設定、変更、開始、一時停止、終了、リリースなどの変更操作を実行できません。
サブアカウントの許可
セキュリティ上の理由で、各従業員にマスターアカウントを作成する代わりに、DTS タスクの作成と管理をサブアカウントに許可することができます。このセクションでは、DTS を使用できるサブアカウントの作成方法について説明します。
サブアカウントの作成
サブアカウントがない場合は作成します。詳細は、「RAM ユーザーの作成」をご参照ください。
サブアカウントの許可
RAM コンソールにログインし、[ユーザー管理] ページにアクセスします。対象となるサブアカウントで、[許可] をクリックします。
表示されたダイアログボックスで、目的の DTS アクセスポリシーを選択し、選択済みのポリシーリストに追加して、[OK] をクリックします。
DTS へのアクセス
RAM コンソールを開き、[RAM の概要] ページで [RAM ユーザーログイン] リンクを見つけます。
リンクを開き、サブアカウントでログインします。
- DTS コンソールにアクセスします。
これで、サブアカウントを使用して DTS タスクを作成・管理できます。