Container Service により提供されるシステムの権限ポリシーの権限粒度は低いものになります。 Container Service の粒度の低い権限ポリシーが希望する要求を満たさない場合、カスタム権限ポリシーを作成します。 たとえば、特定のクラスターへの権限を制御するために、カスタム権限ポリシーを使用することで粒度の高い要求を満たすことができます。
カスタム権限ポリシーの作成
カスタム権限ポリシーの作成の前に、権限ポリシーで使われる言語の基本構造および基本構文をご確認ください。 詳しくは、「権限付与ポリシー言語の詳細」をご参照ください。
このドキュメントでは、RAM (Resource Access Management) ユーザーにクラスターの照会、拡張、削除に関する権限を許可する方法を紹介します。
手順
- プライマリアカウントを使用して RAM コンソールにログインします。
- 左側のナビゲーションウィンドウから [ポリシー] をクリックします。 右上角の、[権限付与ポリシーの作成] をクリックします。
- テンプレートを選択します。 権限付与ポリシーの名称およびポリシーの内容を入力します。
{ "Statement": [{ "Action": [ "cs:Get*", "cs:ScaleCluster", "cs:DeleteCluster" ], "Effect": "Allow", "Resource": [ "acs:cs:*:*:cluster/cluster ID" ] }], "Version": "1" }
where:
Action:
付与したい権限を入力します。Note すべての "Action" がワイルドカードをサポートします。Resource
以下の設定方法をサポートします。- 1 つのクラスターへの権限の付与
"Resource": [ "acs:cs:*:*:cluster/cluster ID" ]
- 複数のクラスターへの権限の付与
"Resource": [ "acs:cs:*:*:cluster/cluster ID", "acs:cs:*:*:cluster/cluster ID" ]
- すべてのクラスターへの権限の付与
"Resource": [ "*" ]
cluster ID
を お使いの実際のクラスター ID に置き換えます。
- 1 つのクラスターへの権限の付与
- 設定が完了したら、[ 権限付与ポリシーの作成] をクリックします。
動作 | 説明 |
---|---|
CreateCluster | クラスターの作成 |
AttachInstances | クラスターへ既存の ECS (Elastic Compute Service) インスタンスの追加 |
ScaleCluster | クラスターの拡張 |
GetClusters | クラスターリストの表示 |
GetClusterById | クラスターの詳細の表示 |
ModifyClusterName | クラスター名の変更 |
DeleteCluster | クラスターの削除 |
UpgradeClusterAgent | クラスター Agent のアップグレード |
GetClusterLogs | クラスター操作ログの表示 |
GetClusterEndpoint | クラスターのアクセスポイントの表示 |
GetClusterCerts | クラスターの証明書のダウンロード |
RevokeClusterCerts | クラスターの証明書の取り消し |
BindSLB | クラスターへの Server Load Balancer インスタンスのバインド |
UnBindSLB | クラスターからの Server Load Balancer インスタンスのアンバインド |
ReBindSecurityGroup | クラスターへのセキュリティグループの再バインド |
CheckSecurityGroup | 既存のクラスターのセキュリティグループルールの確認 |
FixSecurityGroup | クラスターのセキュリティグループルールの修正 |
ResetClusterNode | クラスターノードのリセット |
DeleteClusterNode | クラスターノードの削除 |
CreateAutoScale | ノードのオートスケーリングルールの作成 |
UpdateAutoScale | ノードのオートスケーリングルールの更新 |
DeleteAutoScale | ノードのオートスケーリングルールの削除 |
GetClusterProjects | クラスター上のアプリケーションの表示 |
CreateTriggerHook | アプリケーションのトリガーの作成 |
GetTriggerHook | アプリケーションのトリガーリストの表示 |
RevokeTriggerHook | アプリケーショントリガーの削除 |
CreateClusterToken | トークンの作成 |