システムポリシーが要件を満たしていない場合は、最小権限の原則を実装するためにカスタムポリシーを作成できます。 カスタムポリシーを使用すると、詳細な権限管理を実装し、リソース セキュリティ を向上させることができます。 このトピックでは、ActionTrail のカスタムポリシーのシナリオについて説明します。 また、カスタムポリシーの例も示します。
カスタムポリシーとは
Resource Access Management ( RAM ) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、ポリシー を RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。 RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルから RAM ポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。 RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参考資料
カスタムポリシーのシナリオとカスタムポリシーの例
例 1:Resource Access Management ( RAM ) ユーザーに、ActionTrail に対するフル 権限 と、Object Storage Service ( OSS ) バケットのリストと Simple Log Service プロジェクトのリストを照会する 権限 を付与します。 これにより、RAM ユーザーは証跡を管理できます。
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }例 2:RAM ユーザーに、ActionTrail の証跡を管理する 権限 と、Simple Log Service のログストア、インデックス、ダッシュボード、チャート、およびプロジェクトを管理する 権限 を付与します。 これにより、RAM ユーザーはアラートを管理できます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project name/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project name/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }
認証情報
カスタムポリシーを使用するには、ビジネスのアクセス制御要件と ActionTrail の認証情報を理解する必要があります。 詳細については、「RAM 認証」をご参照ください。