システムポリシーが要件を満たさない場合は、カスタムポリシーを作成して、きめ細かな最小権限のアクセス制御を行うことができます。このトピックでは、PrivateZone カスタムポリシーの一般的なシナリオとポリシー例を紹介します。
カスタムポリシーとは
Resource Access Management (RAM) では、カスタムポリシーはシステムポリシーを補完するもので、必要に応じて作成、更新、削除が可能です。バージョン管理はユーザーが行います。
-
カスタムポリシーを作成した後、RAM ユーザー、ユーザーグループ、または RAM ロールにアタッチすることで、指定された権限を付与できます。
-
カスタムポリシーは削除できます。ポリシーを削除する前に、参照されていないことを確認してください。参照されている場合は、まずその参照レコードから権限を取り消す必要があります。
-
カスタムポリシーはバージョニングをサポートしています。RAM のバージョン管理機能を使用して、ポリシーのバージョンを管理できます。
関連ドキュメント
カスタムポリシーの一般的なシナリオと例
例 1: DNS レコードを管理するための権限
RAM ユーザーに、特定のドメイン名の DNS レコードのステータスを変更する権限を付与し、レコードの一時停止と有効化をできるようにしつつ、その他すべての機能については読み取り専用アクセスを維持します。
{
"Version": "1",
"Statement": [
{
"Action": [
"pvtz:SetZoneRecordStatus"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"pvtz:Search*",
"pvtz:read",
"pvtz:Describe*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "vpc:DescribeVpcs",
"Resource": "*",
"Effect": "Allow"
}
]
}例 2: ドメイン名の有効範囲を管理するための権限
RAM ユーザーに、特定のドメイン名の有効範囲を変更する権限を付与し、ドメイン名が有効になる VPC を変更できるようにしつつ、その他すべての機能については読み取り専用アクセスを維持します。
{
"Version": "1",
"Statement": [
{
"Action": [
"pvtz:BindZoneVpc"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"pvtz:Search*",
"pvtz:read",
"pvtz:Describe*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "vpc:DescribeVpcs",
"Resource": "*",
"Effect": "Allow"
}
]
}認可情報
カスタムポリシーを作成する前に、PrivateZone の認可情報を確認してください。詳細については、「認可情報」をご参照ください。