Cloud Backupのシステムポリシーが要件を満たしていない場合は、カスタムポリシーを作成して、最小権限の原則を実装できます。 カスタムポリシーを使用すると、権限を細かく制御し、リソースアクセスのセキュリティを向上させることができます。 このトピックでは、Cloud Backupにカスタムポリシーが使用されるシナリオについて説明し、サンプルのカスタムポリシーを提供します。
概要
RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 カスタムポリシーは作成、更新、削除できます。 カスタムポリシーのバージョン更新を管理する必要があります。
カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていないRAMポリシーを直接削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
関連ドキュメント
カスタムポリシーのシナリオと例
クラウドバックアップでは、バックアップ権限と復元権限を分離できます。 バックアップコンテナーでバックアップ操作を実行する権限のみをRAMユーザーに付与し、バックアップコンテナーで復元操作を実行する権限のみを別のRAMユーザーに付与できます。 これは不正操作を防止する。
復元または取得を禁止するポリシー
スクリプトをすばやくコピーするには、スクリプトの左上隅にある [コピー] ボタンをクリックします。 サンプルコード:
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateRestore", "hbr:CreateRestoreJob", "hbr:CreateHanaRestore", "hbr:CreateUniRestorePlan", "hbr:CreateSqlServerRestore" ], "Resource": [ "acs:hbr:*:1178037424989531:vault/v-0000ryfi******piu", "acs:hbr:*:1178037424989531:vault/v-0000ryfi******piu/client/*" ] } ] }説明v-0000ryfi ****** piuはバックアップボールトのIDです。
バックアップまたはアーカイブを禁止するポリシー
スクリプトをすばやくコピーするには、スクリプトの左上隅にある [コピー] ボタンをクリックします。 サンプルコード:
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateUniBackupPlan", "hbr:UpdateUniBackupPlan", "hbr:DeleteUniBackupPlan", "hbr:CreateHanaInstance", "hbr:UpdateHanaInstance", "hbr:DeleteHanaInstance", "hbr:CreateHanaBackupPlan", "hbr:UpdateHanaBackupPlan", "hbr:DeleteHanaBackupPlan", "hbr:CreateClient", "hbr:CreateClients", "hbr:UpdateClient", "hbr:UpdateClientSettings", "hbr:UpdateClientAlertConfig", "hbr:DeleteClient", "hbr:DeleteClients", "hbr:CreateJob", "hbr:UpdateJob", "hbr:CreateBackupPlan", "hbr:UpdateBackupPlan", "hbr:ExecuteBackupPlan", "hbr:DeleteBackupPlan", "hbr:CreateBackupJob", "hbr:CreatePlan", "hbr:UpdatePlan", "hbr:CreateTrialBackupPlan", "hbr:ConvertToPostPaidInstance", "hbr:KeepAfterTrialExpiration" ], "Resource": [ "acs:hbr:*:1178037424989531:vault/v-0000ryfi******piu", "acs:hbr:*:1178037424989531:vault/v-0000ryfi******piu/client/*" ] } ] }説明v-0000ryfi ****** piuはバックアップボールトのIDです。
次の例は、RAMユーザーが誤ってバックアップデータを削除するのを防ぐRAMポリシーを示しています。
{ "Version": "1", "Statement": [{ "Effect": "Deny", "Action": [ "hbr:DeleteBackupClient", "hbr:DeleteContact", "hbr:DeleteContactGroup", "hbr:DeleteVault", "hbr:DeleteJob", "hbr:DeleteClient", "hbr:DeleteHanaBackupPlan", "hbr:DeleteClients", "hbr:DeleteBackupSourceGroup", "hbr:DeleteBackupPlan", "hbr:DeleteHanaInstance", "hbr:DeleteSqlServerInstance", "hbr:DeleteSnapshot", "hbr:DeleteSqlServerSnapshot", "hbr:DeleteSqlServerLog", "hbr:DeleteVcenter", "hbr:DeleteUdmEcsInstance", "hbr:DeleteAppliance", "hbr:DeleteUniBackupClient", "hbr:DeleteUniBackupPlan", "hbr:DeleteUniBackupCluster", "hbr:DeleteUniRestorePlan" ], "Resource": [ "acs:hbr:*:{uid}:vault/{vaultId}", "acs:hbr:*:{uid}:vault/{vaultId}/*" ] }] }説明上記の RAM ポリシーでは、vaultId は保護するバックアップコンテナーの ID を指定します。 すべてのバックアップコンテナーを保護するには、アスタリスク (*) を入力します。
関連ドキュメント
カスタムポリシーを使用する前に、ビジネスの権限管理要件とクラウドバックアップに関する権限情報を理解しておく必要があります。 詳細については、「 RAM での権限付与」をご参照ください。