このトピックでは、データディザスタリカバリでサポートされているシステムポリシーと関連する権限について説明します。ビジネス要件に基づいて、システムポリシーをアタッチし、Resource Access Management (RAM) ID に権限を付与できます。
システムポリシーとは
ポリシーとは、ポリシーの構造と構文に基づいて定義された一連の権限です。ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。Alibaba Cloud RAM は、システムポリシーとカスタムポリシーを提供します。すべてのシステムポリシーは Alibaba Cloud によって作成および更新されます。システムポリシーは使用できますが、変更することはできません。ビジネス要件に基づいて、カスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。サービスの反復中に、データディザスタリカバリはシステムポリシーに新しい権限を追加して、新しい機能をサポートします。システムポリシーの更新は、RAM ユーザー、RAM ユーザーグループ、RAM ロールなど、ポリシーがアタッチされているすべての RAM ID に影響します。RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新しいユーザーが Alibaba Cloud 管理コンソールで Alibaba Cloud サービスをすぐに使い始めることができるように設計されています。システムポリシーは、API 操作や CLI コマンドなどのプログラムによるアクセス方法にも適用されます。ただし、プログラムによるアクセスのシナリオでは、きめ細かいカスタムポリシーを使用して、指定されたユーザーが実際の要件に基づいて指定されたリソースのみにアクセスできるようにすることをお勧めします。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。一部のクラウドサービスは、3 種類のポリシーのうち 1 つまたは 2 つのみを提供します。
サービスシステムポリシー
AliyunDBSFullAccess
このポリシーを RAM ID にアタッチして、データディザスタリカバリの管理権限を付与できます。
AliyunDBSReadOnlyAccess
このポリシーを RAM ID にアタッチして、データディザスタリカバリへの読み取り専用アクセスを許可できます。
サービスロールポリシー
AliyunDBSRolePolicy
AliyunDBSRolePolicy ポリシーは、AliyunDBSDefaultRole サービスロール専用の認証ポリシーです。このポリシーは、AliyunDBSRolePolicy サービスロール以外の RAM ID にアタッチしないでください。サービスが正確な認証機能を提供している場合は、サービスが提供するドキュメントを参照してください。
サービスにリンクされたロールポリシー
AliyunServiceRolePolicyForDBS
データディザスタリカバリは、AliyunServiceRolePolicyForDBS サービスロールを引き受けて、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForDBS ポリシーは、AliyunServiceRoleForDBS サービスロール専用の認証ポリシーです。このポリシーは、データディザスタリカバリによって定義および使用されます。ポリシーを変更または削除することはできません。このポリシーは、AliyunServiceRoleForDBS サービスロール以外の RAM ID にアタッチしないでください。
関連情報
デフォルトでは、RAM ID には権限がありません。RAM ID は、アカウント管理者が RAM ID に必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のクラウド リソースにアクセスできます。リソースのセキュリティを確保するために、最小権限の原則に基づいて、必要な権限のみを RAM ID に付与することをお勧めします。詳細については、以下のトピックをご参照ください。