Alibaba Cloud はユーザー向けにさまざまなシステム権限付与ポリシーを提供しています。 権限付与ポリシーは、読み取り専用アクセス権限やクラウド製品レベルでのすべてのアクセス権限など、基本的なアクセス制御機能のみを提供します。

たとえば、ユーザー bob にオフィスネットワークを介して oss://samplebucket/bob/ ディレクトリからのみオブジェクトを読み取る権限を与えようとする場合など、きめ細かい権限要件がある場合は、カスタマイズ権限付与ポリシーを作成してアクセス制御を行うことができます。 (オフィスネットワークの IP アドレスを取得するために検索エンジンで「My IP address」を検索することができます。)

前提条件

ポリシーの基本構造と構文を理解しています。 詳細は、 ポリシー言語の構文をご参照ください。

RAM は API クラスの権限付与にサポートしています。 つまり、特定の API を呼び出すことによって、ポリシー内の各操作権限を付与できます。 RAM でサポートされている権限付与レベルと方式を確実に理解してください。 詳細は、 RAM をサポートするクラウドサービスをご参照ください。

手順

  1. RAM コンソールにログインします。
  2. 権限 > 権限付与ポリシー管理を選択します。
    権限付与ポリシー管理ページで、権限付与ポリシータイプドロップダウンリストからシステム権限付与ポリシーカスタマイズ権限付与ポリシーを選択して、現有のシステムポリシーとカスタマイズポリシーを確認できます。 表示できるのはシステムポリシーだけですが、必要に応じてカスタムポリシーも変更できます。
  3. ポリシーの作成をクリックします。
  4. 表示されたダイアログボックスで、ポリシー名を入力します。 Note と入力しても構いません。
  5. 構成モードとして可視化またはスクリプトを選択します。
    • 可視化を選択した場合、 ステートメントの追加をクリックします。 表示されるダイアログで、権限の効果、操作、およびリソースを設定します。
    • スクリプトを選択した場合、スクリプトを編集します。 詳細は、ポリシー構造と構文をご参照ください。

次のステップ

作成したポリシーをユーザー bob に付与します。 すると bob は、oss://samplebucket/bob/ ディレクトリ内のオブジェクトに対する読み取り専用権限を持つのは、 オフィスネットワークを介して RAM にアクセスする場合のみです(たとえば、IP アドレス 121.0.27.1 )。

ポリシーを使用して RAM ユーザーに権限を付与します。 詳細は、 RAM ユーザーの権限付与をご参照ください。