Container Service により提供されるシステムの権限ポリシーの権限粒度は低いものになります。 Container Service の粒度の低い権限ポリシーが希望する要求を満たさない場合、カスタム権限ポリシーを作成します。 たとえば、特定のクラスターへの権限を制御するために、カスタム権限ポリシーを使用することで粒度の高い要求を満たすことができます。
カスタム権限ポリシーの作成
カスタム権限ポリシーの作成の前に、権限ポリシーで使われる言語の基本構造および基本構文をご確認ください。 詳しくは、「権限付与ポリシー言語の詳細」をご参照ください。
このドキュメントでは、RAM (Resource Access Management) ユーザーにクラスターの照会、拡張、削除に関する権限を許可する方法を紹介します。
手順
- プライマリアカウントを使用して RAM コンソールにログインします。
- 左側のナビゲーションウィンドウから [ポリシー] をクリックします。 右上角の、[権限付与ポリシーの作成] をクリックします。
- テンプレートを選択します。 権限付与ポリシーの名称およびポリシーの内容を入力します。
{ "Statement": [{ "Action": [ "cs:Get*", "cs:ScaleCluster", "cs:DeleteCluster" ], "Effect": "Allow", "Resource": [ "acs:cs:*:*:cluster/cluster ID" ] }], "Version": "1" }where:
Action:付与したい権限を入力します。Note すべての "Action" がワイルドカードをサポートします。Resource以下の設定方法をサポートします。- 1 つのクラスターへの権限の付与
"Resource": [ "acs:cs:*:*:cluster/cluster ID" ] - 複数のクラスターへの権限の付与
"Resource": [ "acs:cs:*:*:cluster/cluster ID", "acs:cs:*:*:cluster/cluster ID" ] - すべてのクラスターへの権限の付与
"Resource": [ "*" ]cluster IDを お使いの実際のクラスター ID に置き換えます。
- 1 つのクラスターへの権限の付与
- 設定が完了したら、[ 権限付与ポリシーの作成] をクリックします。
| 動作 | 説明 |
|---|---|
| CreateCluster | クラスターの作成 |
| AttachInstances | クラスターへ既存の ECS (Elastic Compute Service) インスタンスの追加 |
| ScaleCluster | クラスターの拡張 |
| GetClusters | クラスターリストの表示 |
| GetClusterById | クラスターの詳細の表示 |
| ModifyClusterName | クラスター名の変更 |
| DeleteCluster | クラスターの削除 |
| UpgradeClusterAgent | クラスター Agent のアップグレード |
| GetClusterLogs | クラスター操作ログの表示 |
| GetClusterEndpoint | クラスターのアクセスポイントの表示 |
| GetClusterCerts | クラスターの証明書のダウンロード |
| RevokeClusterCerts | クラスターの証明書の取り消し |
| BindSLB | クラスターへの Server Load Balancer インスタンスのバインド |
| UnBindSLB | クラスターからの Server Load Balancer インスタンスのアンバインド |
| ReBindSecurityGroup | クラスターへのセキュリティグループの再バインド |
| CheckSecurityGroup | 既存のクラスターのセキュリティグループルールの確認 |
| FixSecurityGroup | クラスターのセキュリティグループルールの修正 |
| ResetClusterNode | クラスターノードのリセット |
| DeleteClusterNode | クラスターノードの削除 |
| CreateAutoScale | ノードのオートスケーリングルールの作成 |
| UpdateAutoScale | ノードのオートスケーリングルールの更新 |
| DeleteAutoScale | ノードのオートスケーリングルールの削除 |
| GetClusterProjects | クラスター上のアプリケーションの表示 |
| CreateTriggerHook | アプリケーションのトリガーの作成 |
| GetTriggerHook | アプリケーションのトリガーリストの表示 |
| RevokeTriggerHook | アプリケーショントリガーの削除 |
| CreateClusterToken | トークンの作成 |