Alibaba Cloud では権限を使用して、特定のリソースにアクセスするための RAM ID (RAM ユーザー、ユーザーグループ、ロールなど) の許可アクションを記述します。 権限は、特定の条件下で一部のリソースに対して操作を実行できるかどうかを決定します。 ポリシーは一連のアクセス権限です。
権限
- アカウント (リソース所有者) がすべての権限を制御します。
- 各リソースの所有者は 1 人だけです。 所有者がアカウントである必要があり、完全なリソース管理権限を持っています。
- リソースの所有者がリソースの作成者ではない場合もあります。 たとえば、RAM ユーザーにリソースの作成権限がある場合、この RAM ユーザーが作成したリソースは RAM ユーザーのアカウントに属します。 RAM ユーザーはリソース作成者ですが、リソース所有者ではありません。
- RAM ユーザーにはデフォルトでは権限がありません。
- RAM ユーザーは操作員であり、操作を実行する前に明示的な権限を付与されている必要があります。
- 新しい RAM ユーザーはデフォルトで操作権限を持たず、権限が付与されるまではコンソールまたは API を介しリソースに対して操作を実行することはできません。
- リソース作成者 (RAM ユーザー) には、作成されたリソースに対する権限が自動的に付与されることはありません。
- ユーザーにリソース作成権限が付与されている場合、RAM ユーザーはリソースを作成できます。
- ただし、リソースの所有者がユーザーに明示的に権限を付与しない限り、RAM ユーザーには作成されたリソースに対する権限が自動的に付与されることはありません。
ポリシー
ポリシーは、 ポリシー構造と構文に記載されている一連の権限です。 許可されているリソースセット、操作セット、およびユーザーに付与できる権限の条件を正確に記述できます。 ポリシーが添付されていると、ユーザーまたはユーザーグループは、そのポリシーで指定されているアクセス権限を取得できます。 ポリシーに Allow 文と Deny 文の両方がある場合は、Deny が優先されます。
RAM では、ポリシーはユーザーが作成、更新、削除、および閲覧できるリソースエンティティです。 RAM は、以下の 2 種類のポリシーをサポートしています。
- システムポリシー : システムポリシーは Alibaba Cloud が提供する共通の権限のグループです。 権限には、読み取り専用権限、または一般に使用されているさまざまなプロダクトに対する完全な権限が含まれます。 ユーザーはシステムポリシーを変更できません。 ポリシーは Alibaba Cloud によって自動的にアップグレードされます。
- カスタマイズポリシー : システムポリシーが要件を満たしていない場合は、必要に応じてカスタマイズポリシーを作成できます。 たとえば、特定の ECS インスタンスに対する操作権限を制御する場合、またはリソース操作リクエストを指定の IP アドレスから発信する場合は、カスタマイズポリシーを使用する必要があります。
RAM ID への権限付与
RAM ID への権限付与は、RAM ユーザー、ユーザーグループ、またはロールに 1 つ以上のポリシーを添付することです。
- 添付されたポリシーはシステムポリシーまたはカスタマイズポリシーのどちらかです。
- 添付されたポリシーの更新時はポリシーへの更新が自動的に有効になるため、再度ポリシーを添付する必要はありません。