このトピックでは、Alibaba Cloud CDNでサポートされているすべてのシステムポリシーと、RAM IDに権限を付与する際に参照する権限の説明について説明します。
システムポリシーについて
ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 Alibaba Cloud Resource Access Management (RAM) では、システムポリシーとカスタムポリシーが提供されます。 すべてのシステムポリシーは、Alibaba Cloud によって作成および更新されます。 システムポリシーは使用できますが、変更することはできません。 ビジネス要件に基づいてカスタムポリシーを作成、更新、削除できます。 サービスのイテレーション中に、Alibaba Cloud CDNはシステムポリシーに新しい権限を追加し、新しい機能と機能をサポートします。 システムポリシーの更新は、RAM ユーザー、RAM ユーザーグループ、RAM ロールなど、ポリシーがアタッチされているすべての RAM ID に影響します。 RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新規ユーザーが管理コンソールでAlibaba Cloudサービスをすばやく開始できるように設計されていますが、API操作やCLIコマンドなどのより高度な方法も使用できます。 高度な方法に精通している場合は、カスタムポリシーを使用して、誰がどの API 操作を呼び出すことができるかをより細かく制御し、セキュリティを向上させることを推奨します。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。 クラウドサービスによっては、3 種類のポリシーのうち、1 つまたは 2 つのみ提供されるものがあります。 詳細については、以下のセクションで説明するポリシーの種類をご参照ください。
サービスシステムポリシー
AliyunCDNFullAccess
AliyunCDNFullAccessポリシーは、RAM IDにAlibaba Cloud CDNへのフルアクセスを付与します。
AliyunCDNReadOnlyAccess
AliyunCDNReadOnlyAccessポリシーは、RAM IDにAlibaba Cloud CDNの読み取り専用権限を付与します。
サービス役割ポリシー
AliyunCDNLoggingRolePolicy
AliyunCDNLoggingRolePolicyは、AliyunCDNLoggingRoleサービスロールの専用権限付与ポリシーです。 Alibaba Cloud CDNは、このロールを使用してObject Storage Service (OSS) にログを転送します。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
関連ドキュメント
デフォルトでは、RAM ID には権限が付与されていません。 RAM ID は、アカウント管理者が RAM ID に必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のクラウドリソースにアクセスできます。 リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM IDに必要な権限のみを付与することをお勧めします。 必要な権限を付与する方法の詳細については、以下のトピックを参照してください。