複数のチームメンバーが同じ Alibaba Cloud アカウントを共有している場合、どのメンバーでもすべてのリソースにアクセスできるため、意図しない変更やセキュリティインシデントのリスクが高まります。カスタム権限ポリシーを使用すると、各 RAM ユーザー、ユーザーグループ、またはロールに対し、データディザスタリカバリに必要な権限のみを最小権限の原則に従って付与できます。
組み込みのシステムポリシーが広すぎる場合は、カスタム権限ポリシーを使用します。たとえば、バックアップオペレーターにバックアッププランの作成と監視の権限を付与し、削除の権限は付与しないように設定できます。
カスタム権限ポリシーの仕組み
Resource Access Management (RAM) ポリシーは、システムポリシー (Alibaba Cloud が管理) とカスタム権限ポリシー (ご利用者が管理) の2つのカテゴリに分類されます。カスタム権限ポリシーを使用すると、データディザスタリカバリの操作に対して詳細な権限コントロールを行うことができます。
ポリシーは、RAM ユーザー、ユーザグループ、または RAM ロールにアタッチされた後にのみ有効になります。
カスタムポリシーを削除するには、まず、そのポリシーがアタッチされているすべてのプリンシパルからデタッチします。
カスタム権限ポリシーはバージョン管理をサポートしています。RAM のバージョン管理を使用して、以前のバージョンを失うことなくポリシーを更新できます。
利用可能な操作のリストとリソースタイプについては、「RAM 認可」をご参照ください。
適用シナリオ
| シナリオ | リファレンス |
|---|---|
| 複数の Alibaba Cloud アカウント間でのデータバックアップとデータ復元に必要な権限を RAM ロールに付与 | 複数の Alibaba Cloud アカウント間でのデータバックアップとデータ復元用の RAM ロールの作成 |
| データディザスタリカバリが他の Alibaba Cloud サービスにアクセスするために使用するサービスリンクロールを設定 | AliyunServiceRoleForDBS |
カスタム権限ポリシーの管理
| タスク | リファレンス |
|---|---|
| カスタムポリシーの作成 | カスタムポリシーの作成 |
| ポリシーの内容または説明の更新 | カスタムポリシーのドキュメントおよび説明の変更 |
| カスタムポリシーの削除 | カスタムポリシーの削除 |
| ポリシーがアタッチされているプリンシパルの表示 | ポリシーリファレンスの管理 |
| 特定のポリシーバージョンのロールバックまたはアクティブ化 | カスタムポリシーのバージョン管理 |