Alibaba Cloud アカウントはマスターアカウント、RAM ユーザーはサブアカウントです。マスターアカウントは、DTS タスクの購入や管理が可能です。サブアカウントは、マスターアカウントに許可された後、同様の作業が可能です。
このトピックでは、サブアカウントを使用して DTS にアクセスする方法について説明します。
サブアカウントの定義
DTS は現在、サブアカウントに対して 2 つのアクセスポリシーのみをサポートしています (読み書きと読み取り専用)。DTS は、API 粒度でのアクセス許可をサポートしていません。読み書きポリシーと読み取り専用ポリシーは、RAM によって提供されます。
- 読み書きポリシー
読み書きポリシーの名前は AliyunDTSFullAccess で、次のように定義されています。
{"Version": "1","Statement": [{"Action": "dts:*","Resource": "*","Effect": "Allow"},{"Action": "ram:PassRole","Resource": "*","Effect": "Allow","Condition": {"StringEquals": {"acs:Service": "dts.aliyuncs.com"}}}]}
読み書きポリシーには、すべての DTS 読み取り権限と書き込み権限があります。このポリシーを持つサブアカウントは、DTS インスタンスの購入、設定、管理など、DTS のライフサイクル全体を管理できます。
- 読み取り専用ポリシー
読み取り専用ポリシーの名前は AliyunDTSReadOnlyAccess で、次のように定義されています。
{"Version": "1","Statement": [{"Action": "dts:Describe*","Resource": "*","Effect": "Allow"}]}
読み取り専用ポリシーには、すべての DTS 読み取り権限があります。このポリシーを持つサブアカウントは、マスターアカウント配下のすべての DTS タスクの詳細を表示できますが、購入、設定、変更、開始、一時停止、終了、リリースなどの変更操作を実行できません。
サブアカウントの許可
セキュリティ上の理由で、各従業員にマスターアカウントを作成する代わりに、DTS タスクの作成と管理をサブアカウントに許可することができます。このセクションでは、DTS を使用できるサブアカウントの作成方法について説明します。
サブアカウントの作成
サブアカウントがない場合は作成します。詳細は、「RAM ユーザーの作成」をご参照ください。
サブアカウントの許可
RAM コンソールにログインし、[ユーザー管理] ページにアクセスします。対象となるサブアカウントで、[許可] をクリックします。
表示されたダイアログボックスで、目的の DTS アクセスポリシーを選択し、選択済みのポリシーリストに追加して、[OK] をクリックします。
DTS へのアクセス
RAM コンソールを開き、[RAM の概要] ページで [RAM ユーザーログイン] リンクを見つけます。
リンクを開き、サブアカウントでログインします。
- DTS コンソールにアクセスします。
これで、サブアカウントを使用して DTS タスクを作成・管理できます。