ポリシーを作成し、それらを RAM ID(RAM ユーザー、RAM ユーザーグループ、RAM ロール)または Alibaba Cloud リソースにアタッチすることで、Alibaba Cloud でアクセスを管理できます。 ポリシーは、ID またはリソースに関連付けられている場合、それらの権限を定義します。 ポリシー内の権限によって、RAM ユーザーまたは RAM ロールのリクエストを許可するか拒否するかが決まります。

権限

  • アカウント (リソース所有者) がすべての権限をコントロールします。
    • 各リソースの所有者は 1 人だけです。 所有者が Alibaba Cloud アカウントである必要があり、完全なリソース管理権限を持っています。
    • リソースの所有者がリソースの作成者ではない場合もあります。 たとえば、RAM ユーザーにリソースの作成権限がある場合、この RAM ユーザーが作成したリソースは RAM ユーザーの Alibaba Cloud アカウントに属します。 RAM ユーザーはリソース作成者ですが、リソース所有者ではありません。
  • RAM ユーザーにはデフォルトでは権限がありません。
    • RAM ユーザーは操作員であり、操作を実行する前に明示的な権限を付与されている必要があります。
    • 新しい RAM ユーザーはデフォルトで操作権限を持たず、権限が付与されるまではコンソールまたは API を介しリソースに対して操作を実行することはできません。
  • リソース作成者 (RAM ユーザー) には、作成されたリソースに対する権限が自動的に付与されることはありません。
    • ユーザーにリソース作成権限が付与されている場合、RAM ユーザーはリソースを作成できます。
    • ただし、リソースの所有者がユーザーに明示的に権限を付与しない限り、RAM ユーザーには作成されたリソースに対する権限が自動的に付与されることはありません。

ポリシー

ポリシーは、 ポリシーの構文構造に記載されている一連の権限です。 許可されているリソースセット、操作セット、およびユーザーに付与できる権限の条件を正確に記述できます。 リクエストに適用されるポリシーに許可 Allow と拒否 Deny ステートメントが同時に含まれている場合、DenyAllow よりも優先されます。

RAM では、ポリシーはユーザーが作成、更新、削除、および閲覧できるオブジェクトです。 RAM は、以下の 2 種類のポリシーをサポートしています。
  • システムポリシー : システムポリシーは Alibaba Cloud が提供する共通の権限のグループです。 権限には、読み取り専用権限、または一般に使用されているさまざまな Alibaba Cloud サービスに対する完全な権限が含まれます。 ユーザーはシステムポリシーを変更できません。 ポリシーは Alibaba Cloud によって自動的にアップグレードされます。
  • カスタマイズポリシー : システムポリシーが要件を満たしていない場合は、必要に応じてカスタマイズポリシーを作成できます。 たとえば、特定の ECS インスタンスに対する操作権限を制御する場合、またはリソース操作リクエストを指定の IP アドレスから発信する場合は、カスタマイズポリシーを使用する必要があります。

RAM ID への権限付与

RAM ID への権限付与は、RAM ユーザー、RAM ユーザーグループ、または RAM ロールに 1 つまたは複数のポリシーをアタッチすることです。

  • アタッチされたポリシーはシステムポリシーまたはカスタマイズポリシーのどちらかです。
  • アタッチされたポリシーの更新時はポリシーへの更新が自動的に有効になるため、再度ポリシーを添付する必要はありません。