Data Management:データディザスタリカバリ (DBS) システムポリシー リファレンス

ポリシー概要

システムポリシーとは

ポリシーとは、RAM のポリシー構造および構文を用いて定義された権限の集合であり、許可されるリソース、操作、および条件を記述します。

RAM では、以下の 2 種類のポリシーが提供されます。

• システムポリシー — Alibaba Cloud が作成・管理するポリシーです。RAM ID に添付できますが、変更することはできません。サービスの反復開発に伴い、データディザスタリカバリは新機能をサポートするためにシステムポリシーに新たな権限を追加します。これらの更新は、該当ポリシーを添付済みのすべての RAM ID（RAM ユーザー、RAM ユーザグループ、RAM ロール）に適用されます。

• カスタムポリシー — お客様自身で作成・管理するポリシーです。システムポリシーがお客様の要件に対して広範すぎると判断される場合にご使用ください。

システムポリシーは、Alibaba Cloud 管理コンソールおよび API オペレーションや CLI コマンドなどのプログラムによるアクセス方法でも有効です。プログラムによるアクセスを利用する場合は、細かい粒度で制御可能なカスタムポリシーを活用し、指定されたユーザーおよび必要なリソースへのアクセスのみを許可することを推奨します。

システムポリシーは、以下の 3 つのカテゴリに分類されます。一部のサービスでは、このうち 1 つまたは 2 つのタイプのみを提供しています。

• サービスシステムポリシー — エンドユーザー向けのアクセス権限を付与するために RAM ID に添付します。

• サービスロールポリシー — 特定のサービスロール専用のポリシーです。他の RAM ID には添付しないでください。

• サービスリンクロールポリシー — データディザスタリカバリが他のクラウドサービスのリソースにアクセスするために使用します。他の RAM ID には添付しないでください。

RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。

サービスシステムポリシー

AliyunDBSFullAccess

データディザスタリカバリに対する完全な管理権限を付与します。データディザスタリカバリリソースの管理が必要な RAM ID にこのポリシーを添付してください。

権限の一覧については、「AliyunDBSFullAccess」をご参照ください。

AliyunDBSReadOnlyAccess

データディザスタリカバリに対する読み取り専用アクセス権限を付与します。データディザスタリカバリリソースを表示する必要があるが、変更は行わない RAM ID にこのポリシーを添付してください。

権限の一覧については、「AliyunDBSReadOnlyAccess」をご参照ください。

サービスロールポリシー

AliyunDBSRolePolicy

このポリシーは、AliyunDBSDefaultRole サービスロール専用の権限付与ポリシーです。サービスロール内部で使用され、手動での添付を想定していません。AliyunDBSDefaultRole サービスロール以外の RAM ID には、このポリシーを添付しないでください。

権限の一覧については、「AliyunDBSRolePolicy」をご参照ください。

サービスリンクロールポリシー

AliyunServiceRolePolicyForDBS

データディザスタリカバリは、他のクラウドサービスのリソースにアクセスするために AliyunServiceRoleForDBS サービスリンクロールを偽装します。AliyunServiceRolePolicyForDBS は、このサービスリンクロール専用の権限付与ポリシーです。データディザスタリカバリによって定義・使用されるものであり、お客様による変更または削除はできません。AliyunServiceRoleForDBS サービスリンクロール以外の RAM ID には、このポリシーを添付しないでください。

権限の一覧については、「AliyunServiceRolePolicyForDBS」をご参照ください。

次のステップ

RAM ID にはデフォルトで権限が付与されていません。アカウント管理者が明示的に必要な権限を付与する必要があります。最小権限の原則に従い、各 ID が実際に必要とする権限のみを付与してください。

• RAM ユーザーへの権限付与

• RAM ユーザグループへの権限付与

• RAM ロールへの権限付与