すべてのプロダクト
Search

このプロダクト

    Compute Nest:Compute Nest のカスタムポリシー

    ドキュメントセンター

    Compute Nest:Compute Nest のカスタムポリシー

    最終更新日:Jun 08, 2025

    Resource Management Service (RAM) システムポリシーが要件を満たせない場合は、最小権限の原則を実装するためにカスタムポリシーを作成できます。 カスタムポリシーを使用して、詳細な権限管理を実装し、リソース セキュリティを向上させることができます。

    カスタムポリシーとは

    Resource Access Management (RAM) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。

    • カスタムポリシーを作成した後、そのポリシーを RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。

    • プリンシパルにアタッチされていない RAM ポリシーは削除できます。 RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルから RAM ポリシーをデタッチする必要があります。

    • カスタムポリシーはバージョン管理をサポートしています。 RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。

    参照

    権限付与情報

    カスタムポリシーを作成する前に、ビジネスの権限管理要件と Compute Nest の権限付与情報を理解する必要があります。 詳細については、「サービスプロバイダー向けの RAM 権限付与」および「顧客向けの RAM 権限付与」をご参照ください。

    カスタムポリシーの例

    • 例 1:RAM ユーザーがサービスプロバイダー側で削除操作を実行することを禁止する

      システム セキュリティを強化し、誤操作によるサービスとデータの損失を防ぐために、このポリシーを使用して、RAM ユーザーがサービスプロバイダー側で削除操作を実行することを禁止できます。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "computenestsupplier:DeleteService",
        "computenestsupplier:DeleteServiceInstances",
        "computenestsupplier:DeleteArtifact",
        "computenestsupplier:DeleteAcrImageRepositories",
        "computenestsupplier:DeleteAcrImageTags",
        "computenestsupplier:DeleteDataset",
        "computenestsupplier:DeleteDatasetAsset",
        "computenestsupplier:DeleteServiceTestCase",
        "computenestsupplier:DeleteVirtualInternetService",
        "computenestsupplier:DeleteVirtualInternetEndpoint",
        "computenestsupplier:DeleteVirtualInternetSupplierDomain"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    }
  ]
}

    • 例 2:RAM ユーザーが顧客側でサービスインスタンス情報のみを表示できるようにする

      サービスインスタンスの安定性とセキュリティを確保するために、このポリシーを使用して、RAM ユーザーが顧客側でサービスインスタンス情報のみを表示できるようにすることができます。 RAM ユーザーは、サービスインスタンスの変更や削除などの操作を実行できません。

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "computenest:GetServiceInstance",
        "computenest:GetServiceInstanceSubscriptionEstimateCost",
        "computenest:ListServiceInstanceActionTrailEvents",
        "computenest:ListServiceInstanceBill",
        "computenest:ListServiceInstanceResources",
        "computenest:ListServiceInstanceUpgradeHistory",
        "computenest:ValidateServiceInstanceName",
        "computenest:ListServiceInstanceDatasetAutoExportConfigs",
        "computenest:ListServiceInstanceLogs",
        "computenest:ListServiceInstances"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {}
    }
  ]
}