システムポリシーが要件を満たさない場合は、カスタムポリシーを設定して最小権限の原則を実装できます。カスタムポリシーを使用すると、詳細な権限コントロールを実装し、リソースのセキュリティを向上させることができます。このトピックでは、Data Management (DMS) のカスタムポリシーのシナリオと例について説明します。
カスタムポリシーとは
Resource Access Management (RAM) ポリシーは、システムポリシーとカスタムポリシーに分類されます。ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、そのポリシーを RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチする必要があります。これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルから RAM ポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参考資料
カスタムポリシーのシナリオと例
以下の例では、RAM ユーザーに DMS から 1 つ以上の ApsaraDB RDS インスタンスにログインする権限を付与する方法を示します。
RAM ユーザーに特定の ApsaraDB RDS インスタンスにログインする権限を付与します。
以下の内容を含むカスタムポリシーを作成し、そのポリシーを RAM ユーザーにアタッチします。詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["dms:LoginDatabase"],
"Resource": ["acs:rds:*:*:dbinstance/[$RDS_ID]"]
}
]
}[$RDS_ID] をご利用の RDS インスタンスの ID に置き換えてください。
RAM ユーザーに、ご利用の Alibaba Cloud アカウント内のすべての ApsaraDB RDS インスタンスにログインする権限を付与します。
RAM コンソールで RAM ユーザーに
AliyunRDSFullAccess権限を付与するか、以下の内容でカスタムポリシーを作成して RAM ユーザーにアタッチします。詳細については、「RAM ユーザーへの権限付与」をご参照ください。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": ["dms:LoginDatabase"], "Resource": ["acs:rds:*:*:*"] } ] }
よくある質問
Q: ユーザーが異なるシングルサインオン (SSO) 構成を使用して DMS にログインした場合、データ資産の権限は自動的に同期されますか?
A: いいえ。DMS のデータ資産の権限は RAM の権限とは独立しており、自動的に同期されません。異なる SSO 構成でログインした場合は、再度権限を付与する必要があります。データ所有者の設定も再構成する必要があります。データ資産には最大 3 人のデータ所有者を設定できることにご注意ください。
RAM 認可
カスタムポリシーを使用するには、ビジネスの権限コントロール要件と DMS の認可情報を理解する必要があります。詳細については、「RAM 認可」をご参照ください。