本ドキュメントでは、RAM ポリシーをわかりやすくするためのポリシーチェックルールについて説明します。

チェックルール

Alibaba Cloud アカウントを使用するか、権限付与された RAM ユーザーまたは RAM ロールを通じて、RAM 内の Alibaba Cloud リソースにアクセスできます。

RAM は、以下の表に示すルールに従ってアクセスを許可するかどうか決定します。

アクセス種別 ルール
Alibaba Cloud アカウント Alibaba Cloud アカウントはリソースの所有者であり、アカウントの下にあるすべての Alibaba Cloud リソースにアクセスできます。
Log Service など一部の Alibaba Cloud サービスは、クロスアカウント ACL 権限をサポートしています。 ACL 権限付与が成功した場合、アカウントがリソース所有者ではない場合でもアクセスが許可されます。
RAM ユーザー
  • RAM ユーザーが属する Alibaba Cloud アカウントは、特定の Alibaba Cloud リソースにアクセスする権限を持っています。
  • Alibaba Cloud アカウントは、明示的な Allow 効果を持つポリシーを RAM ユーザーにアタッチしています。
RAM ロール
  • RAM ロールが属する Alibaba Cloud アカウントには、特定の Alibaba Cloud リソースにアクセスする権限があります。
  • Alibaba Cloud アカウントは、明示的な Allow 効果を持つポリシーを RAM ロールにアタッチしています。
  • RAM ロールの STS トークンに必要な権限があります。

RAM ユーザーのポリシーチェックルール

デフォルトでは、RAM ユーザーは Alibaba Cloud アカウントによって明示的な許可を与えられていない限り、リソースアクセス許可を持っていません。 ポリシーには Allow および Deny ステートメントが含まれています。 リクエストに適用されるポリシーに許可 Allow と拒否 Deny ステートメントが同時に含まれている場合、DenyAllow よりも優先されます。



RAM ユーザーとして Alibaba Cloud リソースにアクセスすると、システムは次のようにポリシーをチェックします。

  1. RAM ユーザーにアタッチされたポリシーに Deny ステートメントがあるかどうか:
    • ある場合、アクセスは拒否されます。
    • ない場合、次のステップに進みます。
  2. RAM ユーザーの Alibaba Cloud アカウントにアタッチされたポリシーに Allow ステートメントがあるかどうか:
    • ある場合、アクセスは許可されます。
    • ない場合、システムは RAM ユーザーの Alibaba Cloud アカウントにクロスアカウント ACL 許可があるかどうかを確認します。
      • ある場合、アクセスは許可されます。
      • ない場合、アクセスは拒否されます。

RAM ロールのポリシーチェックルール

STS トークンを使用して AssumeRole アクションを呼び出すことで、Alibaba Cloud リソースに RAM ロールとしてアクセスできます。

RAM ロールとして Alibaba Cloud リソースにアクセスすると、システムは次のようにポリシーをチェックします。

  1. ポリシーが STS トークンにアタッチされている場合、システムはそのポリシーに Deny ステートメントがあるかどうかをチェックします。
    • ある場合、アクセスは拒否されます。
    • ない場合、次のステップに進みます。

    STS トークンにポリシーがアタッチされていない場合、システムは RAM ロールにアタッチされたポリシーをチェックします。

  2. RAM ロールにアタッチされたポリシーに Deny ステートメントがあるかどうか:
    • ある場合、アクセスは拒否されます。
    • ない場合、次のステップに進みます。
  3. RAM ロールの Alibaba Cloud アカウントにアタッチされたポリシーに Allow ステートメントがあるかどうか:
    • ある場合、アクセスは許可されます。
    • ない場合、システムは RAM ユーザーの Alibaba Cloud アカウントにクロスアカウント ACL 許可があるかどうかを確認します。
      • ある場合、アクセスは許可されます。
      • ない場合、アクセスは拒否されます。