AWS
IAM
AlibabaCloud
ECS(AlibabaCloud)
RAM

「[運用小ネタ] RAMとECSのTag機能でインスタンスを保護する」についての色々

はじめに

 Qです。 Alibaba Cloudという謎だらけのクラウドサービスに興味があって、某ライフデザイン企業をやめて、7月からソフトバンクとAlibabaが作ったジョイントベンチャーに転職しました。
 Qiita上の投稿はあくまでも個人的な発言になります。
 もともとはAWSを触っていて、AWS上のセキュリティ管理統制とか開発(少し)とかやっていました。
 AWSの経験を活用して、【[運用小ネタ] RAMとECSのTag機能でインスタンスを保護する】というAlibaba Cloudのネタを会社のブログに投稿しましたが、Qiitaのほうがもっと自由に書きますので、もう少し好き勝手に言いたくて、この記事を書くことにしました。

背景

 1年前に【タグで特定のEC2インスタンスを保護するIAMポリシー】というAWSの運用ネタを投稿しました。
 Alibaba CloudのRAM (Resource Access Management)はAlibaba Cloudのリソースへのアクセスを制御するサービスで、AWSのIAMと似ていますので、おそらく 同様なやり方でAlibaba Cloud上でも実現できると思って、確認したところ、想定通りの結果になりました。

RAMについて

 Alibaba Cloudのサービスへのアクセス制御は下記3つのレベルでわかれます。 

  1. サービスレベル
    サービスに対して、すべての操作が「できる/できない」で制御
  2. アクションレベル
    APIアクションまで制御可能
  3. リソースレベル
    個々のリソースまで制御可能

 AWSのIAMも同じ考え方です。上記のRAMの情報は中国語ドキュメント英語のドキュメントには記載されていますが、なぜか日本語ドキュメントには何も記載されていません。 何をやっているんだ、お前ら 本当に不思議だと思っています。ちゃんとフィードバックしておきます。

 一時的にAlibaba CloudのRAM は AWSのIAMと同じと思っていました。その時に
AliEaters #2 (Alibaba Cloudのユーザーグループの勉強会) で僕は「(RAMは)AWS経験者だったら、すぐに理解できる」と言ってしまいましたが、僕の発表を聞いて、「同じだろう」と思っていた方が見事にハマり、AliEaters #4でその【苦労した話】を披露することになりました。
 結局、Alibaba CloudのRAMはAWSのIAMと似ているものの、別物です

最後

 Alibaba Cloudのプロダクトの一部はAWSのプロダクトと概念的にも機能的にも似ていますが、AWSと全く同じだと思いこんで、利用すると、必ずハマります。自分もハマりまくりました。

 現状Alibaba Cloudは中国/インターナショナル/日本という3つに分かれています。日本サイトは日本のデータセンターでAlibaba Cloudのプラットフォームで構築したものになります。
 日本サイトのプロダクトはまだ40個くらいですが、中国サイトのプロダクトは100個越えていて、速いスピードで機能更新やサービスの追加が行われています。Alibaba Cloudにご興味ある方は是非 (前職時代に書いた記事)【Alibaba Cloudサービス一覧、サービス概要、類似のAWSサービスをまとめてみた】を読んでみてください。