システムポリシーが要件を満たしていない場合は、最小権限の原則を実装するようにカスタムポリシーを構成できます。 カスタムポリシーを使用して、きめ細かい権限制御を実装し、リソースのセキュリティを向上させることができます。 このトピックでは、データ管理 (DMS) カスタムポリシーのシナリオと例について説明します。
カスタムポリシーとは何ですか?
RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。
関連ドキュメント
カスタムポリシーのシナリオと例
次の例は、DMSから1つ以上のApsaraDB RDSインスタンスにログインする権限をRAMユーザーに付与する方法を示しています。
特定のApsaraDB RDSインスタンスにログインする権限をRAMユーザーに付与します。
次の内容を含むカスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチします。 詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": ["dms:LoginDatabase"],
"Resource": ["acs:rds:*:*:dbinstance/[$RDS_ID]"]
}
]
}[$RDS_ID] をApsaraDB RDSインスタンスのIDに置き換えます。
Alibaba Cloudアカウント内のすべてのApsaraDB RDSインスタンスにログインする権限をRAMユーザーに付与します。
RAMコンソールでRAMユーザーに
AliyunRDSFullAccess権限を付与するか、次の内容を含むカスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチします。 詳細については、「RAMユーザーへの権限付与」をご参照ください。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": ["dms:LoginDatabase"], "Resource": ["acs:rds:*:*:*"] } ] }
RAM権限付与
カスタムポリシーを使用するには、ビジネスの権限制御要件とDMSの権限情報を理解する必要があります。 詳細については、「 RAM での権限付与」をご参照ください。