システムポリシーとは何ですか?
システムポリシーとは、ポリシー構造と構文に基づいて定義される一連の権限を指します。 このポリシーを使用することで、権限が付与されたリソースセットと操作セット、および権限付与の条件を詳細に記述できます。 Alibaba Cloud Resource Access Management (RAM) では、システムポリシーとカスタムポリシーが提供されています。 システムポリシーは、Alibaba Cloud によって作成および更新されます。 ユーザーはシステムポリシーを使用することはできますが、変更することはできません。 一方、カスタムポリシーは、ユーザーが業務ニーズに応じて作成、更新および削除などのポリシー管理を行うことが可能です。 カスタムポリシーは作成、更新、削除できます。 サービスの反復中に、ACKはシステムポリシーに新しい権限を追加して、新しい機能と機能をサポートします。 システムポリシーの更新は、このポリシーが適用されたすべての RAM ID (RAM ユーザー、RAM ユーザーグループ、RAM ロールなど)に影響を及ぼします。 RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新規ユーザーが管理コンソールで Alibaba Cloud をスムーズに利用できるように設計されています。システムポリシーに含まれる権限は、OpenAPI や CLI といったアクセス手段でも利用可能ですが、 セキュリティの観点から、高度な方法がわかるユーザーに、カスタムポリシーの使用をお勧めします。カスタムポリシーは、誰やどのアプリケーションに対して、どの API 操作権限を付与するかを細かく設定できるためです。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。 一部のクラウドサービスは、3 種類のポリシーのうち、1 つまたは 2 つのみ提供しています。 詳細については、以下のセクションで記載されたポリシーの種類をご参照ください。
サービスシステムポリシー
AliyunCSFullAccess
AliyunCSFullAccessポリシー: 管理コンソールを介してContainer Serviceへのフルアクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
AliyunCSReadOnlyAccess
AliyunCSReadOnlyAccessポリシー: 管理コンソールを介してContainer Serviceへの読み取り専用アクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
サービス役割ポリシー
AliyunCISDefaultRolePolicy
AliyunCISDefaultRolePolicyポリシーは、AliyunCISDefaultRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCISDefaultRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSAIAssistantRolePolicy
AliyunCSAIAssistantRolePolicyポリシーは、AliyunCSAIAssistantRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、CSはこのロールを使用して他のサービスのリソースにアクセスします。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSDefaultRolePolicy
AliyunCSDefaultRolePolicyポリシーは、AliyunCSDefaultRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSDefaultRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSKubernetes AuditRolePolicy
AliyunCSKubernetes AuditRolePolicyポリシーは、AliyunCSKubernetes AuditRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSKubernetes AuditRoleのポリシーです。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSKubernetes AuditRolePolicy
AliyunCSManagedAcrRolePolicy
AliyunCSManagedAcrRolePolicyポリシーは、AliyunCSManagedAcrRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedAcrRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedApiGWRolePolicy
AliyunCSManagedApiGWRolePolicyポリシーは、AliyunCSManagedApiGWRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、CSはこのロールを使用して他のサービスのリソースにアクセスします。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedApiGWRolePolicy
AliyunCSManagedArmsRolePolicy
AliyunCSManagedArmsRolePolicyポリシーは、AliyunCSManagedArmsRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedArmsRoleのポリシーです。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedAutoScalerRolePolicy
AliyunCSManagedAutoScalerRolePolicyポリシーは、AliyunCSManagedAutoScalerRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedAutoScalerRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedAutoScalerRolePolicy
AliyunCSManagedBackupRestoreRolePolicy
AliyunCSManagedBackupRestoreRolePolicyポリシーは、AliyunCSManagedBackupRestoreRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedBackupRestoreRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedBackupRestoreRolePolicy
AliyunCSManagedCmsRolePolicy
AliyunCSManagedCmsRolePolicyポリシーは、AliyunCSManagedCmsRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedCmsRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedCostRolePolicy
AliyunCSManagedCostRolePolicyポリシーは、AliyunCSManagedCostRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedCostRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedCsiPluginRolePolicy
AliyunCSManagedCsiPluginRolePolicyポリシーは、AliyunCSManagedCsiPluginRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、CSはこのロールを使用して他のサービスのリソースにアクセスします。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedCsiPluginRolePolicy
AliyunCSManagedCsiProvisionerRolePolicy
AliyunCSManagedCsiProvisionerRolePolicyポリシーは、AliyunCSManagedCsiProvisionerRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、CSはこのロールを使用して他のサービスのリソースにアクセスします。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedCsiProvisionerRolePolicy
AliyunCSManagedCsiRolePolicy
AliyunCSManagedCsiRolePolicyポリシーは、AliyunCSManagedCsiRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedCsiRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedEdgeRolePolicy
AliyunCSManagedEdgeRolePolicyポリシーは、AliyunCSManagedEdgeRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedEdgeRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedKubernetes RolePolicy
AliyunCSManagedKubernetes RolePolicyポリシーは、AliyunCSManagedKubernetes roleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedKubernetes Roleのポリシーです。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedKubernetes RolePolicy
AliyunCSManagedLogRolePolicy
AliyunCSManagedLogRolePolicyポリシーは、AliyunCSManagedLogRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedLogRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedMseRolePolicy
AliyunCSManagedMseRolePolicyポリシーは、AliyunCSManagedMseRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedMseRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedNetworkRolePolicy
AliyunCSManagedNetworkRolePolicyポリシーは、AliyunCSManagedNetworkRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedNetworkRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedNetworkRolePolicy
AliyunCSManagedNimitzRolePolicy
AliyunCSManagedNimitzRolePolicyポリシーは、AliyunCSManagedNimitzRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedNimitzRoleのポリシーです。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedNimitzRolePolicy
AliyunCSManagedNlcRolePolicy
AliyunCSManagedNlcRolePolicyポリシーは、AliyunCSManagedNlcRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedNlcRoleのポリシーです。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedSecurityRolePolicy
AliyunCSManagedSecurityRolePolicyポリシーは、AliyunCSManagedSecurityRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSManagedSecurityRoleのポリシー。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
AliyunCSManagedSecurityRolePolicy
AliyunCSServerlessKubernetes RolePolicy
AliyunCSServerlessKubernetes RolePolicyポリシーは、AliyunCSServerlessKubernetesサービスロールの専用権限付与ポリシーです。 デフォルトでは、AliyunCSServerlessKubernetes Roleのポリシーです。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
関連ドキュメント
デフォルトでは、RAM ID には権限が付与されていません。 RAM ID は、アカウント管理者が RAM ID に必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のクラウドリソースにアクセスできます。 リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM ID に必要な権限のみを付与することを推奨します。 詳細については、以下のドキュメントをご参照ください。