システムポリシーが要件を満たしていない場合は、最小限の権限の原則を実装するためにカスタムポリシーを作成できます。カスタムポリシーを使用して、きめ細かい権限管理を実装し、リソースアクセスセキュリティを向上させることができます。このトピックでは、Cloud Shellのカスタムポリシーが使用されるシナリオについて説明します。また、カスタムポリシーの例も示します。
カスタムポリシーとは
Resource Access Management ( RAM ) ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーは、作成、更新、および削除できます。カスタムポリシーのバージョン更新を管理する必要があります。
カスタムポリシーを作成した後、カスタムポリシーを次のRAMプリンシパルにアタッチする必要があります: RAMユーザー、ユーザーグループ、またはロール。これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていないカスタムポリシーは削除できます。カスタムポリシーがプリンシパルにアタッチされている場合は、カスタムポリシーを削除する前に、プリンシパルからカスタムポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。
リファレンス
カスタムポリシーのシナリオと例
RAMユーザーに Cloud Shell にファイルをアップロードする権限を付与します。例:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
// 許可
"Action": [
"cloudshell:UploadFile"
],
// アクション
"Resource": [
"*"
]
// リソース
}
]
}承認情報リファレンス
カスタムポリシーを使用する前に、ビジネスの権限制御要件と Cloud Shell に関する承認情報を理解する必要があります。詳細については、「承認情報」をご参照ください。