すべてのプロダクト
Search
ドキュメントセンター

Data Management:DMS のカスタムポリシー

最終更新日:Apr 21, 2026

システムポリシーが要件を満たさない場合は、カスタムポリシーを設定して最小権限の原則を実装できます。カスタムポリシーを使用すると、詳細な権限コントロールを実装し、リソースのセキュリティを向上させることができます。このトピックでは、Data Management (DMS) のカスタムポリシーのシナリオと例について説明します。

カスタムポリシーとは

Resource Access Management (RAM) ポリシーは、システムポリシーとカスタムポリシーに分類されます。ビジネス要件に基づいてカスタムポリシーを管理できます。

  • カスタムポリシーを作成した後、そのポリシーを RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチする必要があります。これにより、ポリシーで指定された権限をプリンシパルに付与できます。

  • プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルから RAM ポリシーをデタッチする必要があります。

  • カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。

参考資料

カスタムポリシーのシナリオと例

以下の例では、RAM ユーザーに DMS から 1 つ以上の ApsaraDB RDS インスタンスにログインする権限を付与する方法を示します。

  • RAM ユーザーに特定の ApsaraDB RDS インスタンスにログインする権限を付与します。

    以下の内容を含むカスタムポリシーを作成し、そのポリシーを RAM ユーザーにアタッチします。詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["dms:LoginDatabase"],
      "Resource": ["acs:rds:*:*:dbinstance/[$RDS_ID]"]
    }
  ]
}
説明

[$RDS_ID] をご利用の RDS インスタンスの ID に置き換えてください。

  • RAM ユーザーに、ご利用の Alibaba Cloud アカウント内のすべての ApsaraDB RDS インスタンスにログインする権限を付与します。

    RAM コンソールで RAM ユーザーに AliyunRDSFullAccess 権限を付与するか、以下の内容でカスタムポリシーを作成して RAM ユーザーにアタッチします。詳細については、「RAM ユーザーへの権限付与」をご参照ください。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": ["dms:LoginDatabase"],
          "Resource": ["acs:rds:*:*:*"]
        }
      ]
    }

よくある質問

Q: ユーザーが異なるシングルサインオン (SSO) 構成を使用して DMS にログインした場合、データ資産の権限は自動的に同期されますか?

A: いいえ。DMS のデータ資産の権限は RAM の権限とは独立しており、自動的に同期されません。異なる SSO 構成でログインした場合は、再度権限を付与する必要があります。データ所有者の設定も再構成する必要があります。データ資産には最大 3 人のデータ所有者を設定できることにご注意ください。

RAM 認可

カスタムポリシーを使用するには、ビジネスの権限コントロール要件と DMS の認可情報を理解する必要があります。詳細については、「RAM 認可」をご参照ください。