権限付与ポリシーは、ALIクラウドにより定義されたポリシー要素 で記述された権限の集合です。 権限付与ポリシーがアタッチされたユーザーまたはグループ内のすべてのユーザーは、その権限付与ポリシーに指定されているアクセス権限を取得できます。

RAM は、2 種類の権限付与ポリシーに対応しています:システム権限付与ポリシーと カスタマイズ権限付与ポリシー. このドキュメントでは、システム権限付与ポリシーの確認、変更、削除、及びカスタマイズなどの権限付与ポリシーを管理する操作方法について説明します。

システム権限付与ポリシー

システム権限付与ポリシーは、Alibaba Cloud によって提供される一般的な権限付与ポリシーのグループです。主に、さまざまなプロダクトに対する読み取り専用権限または完全な権限を付与します。 Alibaba Cloud によって提供されるシステム権限付与ポリシーは、

  • 権限付与にのみ使用できます。編集や変更を行うことはできません。
  • システム権限付与ポリシーの更新や変更は、Alibaba Cloud によって自動的に行われます。

システム権限付与ポリシーの確認

システム権限付与ポリシーをすべて確認するには、[RAM コンソール] にログオンし、[権限付与ポリシー管理] ページに移動します。このページで、すべてのシステム権限付与ポリシーのリストを確認できます。

カスタマイズ権限付与ポリシー

システム権限付与ポリシーが要件を満たすことができない場合は、カスタマイズ権限付与ポリシーを作成できます。 たとえば、特定の ECS インスタンスに対する 操作権限を制御する場合や、指定した IP アドレスからリソースオペレーターリクエストを発信する必要がある場合は、カスタマイズ権限付与ポリシーを使用して、こうした詳細な要件に対応する必要があります。

アプリケーションシナリオ

よりきめ細かい権限付与要件がある場合、たとえば、Bob というユーザーに oss://sample_bucket/bob/ のすべてのオブジェクトに対する読み取り専用権限を付与し、IP アドレスを企業ネットワークのIPアドレスのみでアクセス可能に制限できます (企業ネットワークの IP アドレスを取得するには、 検索エンジンを使用して “My IP” を検索してください)。

カスタマイズ権限付与ポリシーの作成

カスタマイズ権限付与ポリシーを作成する場合は、権限付与ポリシー言語の基本的な構造と構文を理解する必要があります。詳細については、「権限付与ポリシー言語の説明」を参照してください。

操作手順

認可ポリシー言語を学習後、RAMコンソールで上記のニーズを満たすカスタマイズ権限付与ポリシーを簡単に作成できます。
  1. RAMコンソールにログインします。
  2. クリック権限付与ポリシー > カスタマイズ権限付与ポリシー.
  3. ページ右上の 権限付与ポリシーを作成 をクリックして、下図のようなダイアログボックスを開きます:
    図 1. 権限付与ポリシーを作成


  4. 一つのテンプレートを選定します。(例えば、 AliyunOSSReadOnlyAccess)。 下図に示すように、テンプレートに基づいてポリシーを編集できます:
    図 2. 権限付与ポリシーの編集


    カスタマイズ権限ポリシーの名前、説明、および内容を変更できます。 上の図では、選択された部分が追加された細かい権限付与ポリシーです。

    カスタマイズポリシーの例:

    
{
    Version: "1 ",
    "Statement ":[
      {
        "Action ":[
          "Oss: Get *",
          "Oss: list *"
        ],
        "Effect": "allow ",
        "Resource": "ACS: OSS: *: samplebucket/Bob /*",
        "Condition ":{
          "IPaddress ":{
            "ACS: sourceip": "maid"
           }
        }
      }
    ]
}
  5. 権限付与ポリシーを作成 をクリックします。

その他操作

このカスタム認証ポリシーをユーザ Bob に添付すると、Bob は企業ネットワークのオブジェクトにアクセスするという条件で、oss://samplebucket/bob/ にあるすべてのオブジェクトに対する読み取り専用権限を持ちます(たとえば、 127.0.27.1)。

操作の詳細は次を参照してください。

カスタマイズ権限付与ポリシーの変更

ユーザーの権限が変更された場合(つまり、新しい権限が追加された場合、または既存の権限が取り消された場合)は、ユーザーの権限付与ポリシーを変更する必要があります。 権限付与ポリシーを変更すると、次の 2 つの問題が発生する可能性があります。

  • 古いポリシーは、一定期間経過しても利用可能にしてほしい。
  • 変更後、変更されたポリシーが正しくないため、ロールバックを実行する必要があります。

このような問題に対処するため、Alibaba Cloud は権限付与ポリシーのバージョン管理機能を提供します。バージョン管理では:

  • 1 つの権限付与ポリシーに対して複数のバージョンを保持できます。
  • バージョン数が制限を超える場合は、不要なバージョンを削除する必要があります。
  • ポリシーに複数のバージョンが含まれている場合、”デフォルトバージョン”と呼ばれる 1 つのバージョンのみがアクティブになります。

操作手順は次の通りです。

  1. RAMコンソールにログインし、権限付与ポリシー管理 > カスタマイズ権限付与ポリシー.
  2. 検索エンジンを通じて権限管理ポリシー名で 該当する権限管理ポリシーを検索し、
  3. 右にある 変更 をクリックします。
    図 3. バージョン管理
  4. 上の図に示すバージョン管理ページで、次のような操作ができます:
    • ポリシーコンテンツのすべてのバージョン履歴を確認することができます
    • デフォルト以外のバージョンを現在のバージョンに設定できます(つまりデフォルトバージョン)。
    • デフォルト以外のバージョンを削除できます。

カスタマイズ権限付与ポリシーの削除

複数のカスタマイズ権限付与ポリシーを作成し、 各ポリシーごとに複数のバージョンを管理することができます。 また不要になったポリシーを削除することもできます。

ただし

ポリシーを削除する前に、次のことを確認する必要があります:
  • ポリシーにデフォルトバージョンのみ存在し、複数のバージョンが存在しないこと 複数のバージョンが存在する場合、デフォルト以外のすべてのバージョンを削除する必要があります。
  • 現在の権限付与ポリシーは参照されていないこと(ユーザー、ユーザーグループ、またはロールに関連付けられること) 参照されている場合は、次の操作を行うことができます:
    • 権限付与ポリシーの参照レコードの権限を取り消す。
    • 削除プロセスで関連付けの強制削除を選択可能です。

操作手順

  1. RAMコンソールにログインし、権限付与ポリシー管理 > カスタマイズ権限付与ポリシー.
  2. 該当するポリシーの右にある 削除 をクリックします。
  3. 権限付与の削除ページで、関連付けの強制削除をチェック付けすることができます(ポリシーが参照されている場合の強制解除)。

これで、カスタマイズ権限付与ポリシーの削除に成功しました。