すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:権限管理

最終更新日:Jun 13, 2026

Resource Access Management (RAM) は Alibaba Cloud によって提供される、ユーザーのアイデンティティとリソースの権限を管理するためのサービスです。RAM を使用すると、Alibaba Cloud アカウント (root ユーザー) のキーを他のユーザーと共有することを回避でき、ユーザーに必要最小限の権限を付与できます。RAM ではポリシーを使用して権限付与を定義します。このトピックでは、RAM ポリシーの一般的な構造と、 のポリシーステートメントを構成する要素である「アクション (Action)」「リソース (Resource)」および「条件 (Condition) 」について説明します。 は、RAM コード (RamCode) が ecs,vpc で、 RESOURCE での権限付与がサポートされています。

一般的なポリシー構造

RAM ポリシーは、一般的に以下のような JSON 構造で構成されます。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}        

ポリシーのフィールドに関する説明:

  • Version:ポリシーのバージョン番号。現在のポリシーバージョンは 1 です。

  • Statement:

    • Effect:「許可するか、拒否するか」という、最終的な結果を定義します。有効な値:Allow (許可) または Deny (拒否)。

    • Action:「何をすることができるか、できないか」を定義する、リソースへの具体的な操作を指します。

    • Resource:「何に対して操作を行うか」を定義する、操作の具体的な対象です。対象となるリソースは、ARN (Alibaba Cloud Resource Name) を使用して指定できます。

    • Condition:「どのような状況下でポリシーが適用されるか」という、権限が有効になるための付加的な制約条件を定義します。このフィールドは任意です。

      • Condition operator:条件の演算子。条件キーの値とリクエスト値をどのように比較するかを定義する「比較方法」です。条件演算子は、条件のタイプによって異なります。

      • Condition_key:条件のキー。ポリシーの条件が満たされているかを判断するために、リクエストから参照・チェックされる特定の属性を指します。

      • Condition_value:条件の値。条件キーから取得されたリクエスト値と比較するための、具体的な「基準値」です。

アクション (Action)

下表に、 で定義されたアクションを示します。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定する必要があります。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。詳細については、「共通条件キー」をご参照ください。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

API

アクセスレベル

リソースタイプ

条件キー

依存アクション

ecs:ModifyDedicatedHostClusterAttribute ModifyDedicatedHostClusterAttribute update

*ddhcluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}

なし なし
ecs:DescribeNetworkInterfacePermissions DescribeNetworkInterfacePermissions get

NetworkInterface

acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}

なし なし
ecs:ResizeDisk ResizeDisk update

*Disk

acs:ecs:{#regionId}:{#accountId}:disk/{#diskId}

DedicatedHostCluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/*

なし なし
ecs:ReleaseDedicatedHost ReleaseDedicatedHost delete

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

なし なし
ecs:ModifyInstanceAttachmentAttributes ModifyInstanceAttachmentAttributes update

*Instance

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

なし なし
ecs:RebootInstance RebootInstance update

*Instance

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

なし なし
ecs:AllocateDedicatedHosts AllocateDedicatedHosts create

*DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/*

DedicatedHost

acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}

なし なし
ecs:AuthorizeSecurityGroup AuthorizeSecurityGroup create

*All Resource

*

なし なし
ecs:ModifyStorageCapacityUnitAttribute ModifyStorageCapacityUnitAttribute update

*StorageCapacityUnit

acs:ecs:{#regionId}:{#accountId}:scu/{#scuId}

なし なし
ecs:CreateHpcCluster CreateHpcCluster create

*HpcCluster

acs:ecs:{#regionId}:{#accountId}:hpc/*

DedicatedHostCluster

acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}

なし なし
ecs:ListPluginStatus ListPluginStatus get

*Instance

acs:ecs:{#regionId}:{#accountId}:instance/{#InstanceId}

なし なし
ecs:ModifyHpcClusterAttribute ModifyHpcClusterAttribute update

*All Resource

*

なし なし
ecs:CreateImageComponent CreateImageComponent create

*ImageComponent

acs:ecs:{#regionId}:{#accountId}:imagecomponent/*

なし なし
ecs:AddTags AddTags create

*All Resource

*

なし なし
ecs:AllocatePublicIpAddress AllocatePublicIpAddress create

*Instance

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

なし なし
ecs:DescribeUserBusinessBehavior DescribeUserBusinessBehavior get

*All Resource

*

なし なし
ecs:DescribePrefixLists DescribePrefixLists get

*PrefixList

acs:ecs:{#regionId}:{#accountId}:prefixlist/{#PrefixListId}

なし なし
ecs:DeleteHpcCluster DeleteHpcCluster delete

*All Resource

*

なし なし
ecs:GetInstanceScreenshot GetInstanceScreenshot get

*Instance

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

なし なし
ecs:ReleasePublicIpAddress ReleasePublicIpAddress delete

*Instance

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

なし なし

リソース (Resource)

下表に、 で定義されたリソースを示します。ポリシーステートメントのResource要素で指定することで、特定のアクションの適用対象を設定できます。各リソースは対応する ARN を持ち、一意的に識別されます。ARN はacs:{#ramcode}:{#regionId}:{#accountId}:{#resourceType}形式で、構成要素は以下のとおりです。

  • acs:Alibaba Cloud Service の頭文字で、Alibaba Cloud のパブリッククラウドを指します。

  • {#ramcode}:RAM における具体的な Alibaba Cloud サービスの識別コード。

  • {#regionId}リージョン ID。アスタリスク (*) に設定した場合、リソースがすべてのリージョンに適用することを示します。

  • {#accountId}:Alibaba Cloud アカウントの ID。アスタリスク (*) に設定した場合、リソースがすべての Alibaba Cloud アカウントに適用することを示します。

  • {#resourceType}:具体的な Alibaba Cloud サービスによって定義されたリソースの識別子で、ファイルパスに似た階層構造をサポートしています。アスタリスク (*) に設定した場合、ステートメントがすべてのリソースに適用することを示します。

リソースタイプ

ARN

ddhcluster
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/*
NetworkInterface
  • acs:ecs:{#regionId}:{#accountId}:eni/{#eniId}
  • acs:ecs:{#regionId}:{#accountId}:eni/*
Disk
  • acs:ecs:{#regionId}:{#accountId}:disk/{#diskId}
  • acs:ecs:{#regionId}:{#accountId}:disk/*
  • acs:ecs:{#regionId}:{#accountId}:disk/{#SourceDiskId}
DedicatedHost
  • acs:ecs:{#regionId}:{#accountId}:ddh/{#ddhId}
  • acs:ecs:{#regionId}:{#accountId}:ddh/*
Instance
  • acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}
  • acs:ecs:{#regionId}:{#accountId}:instance/*
  • acs:vpc:{#regionId}:{#accountId}:instance/{#InstanceId}
SecurityGroup
  • acs:ecs:{#regionId}:{#accountId}:securitygroup/{#securitygroupId}
  • acs:ecs:{#regionId}:{#accountId}:securitygroup/*
PortRangeList
  • acs:ecs:{#regionId}:{#accountId}:portrangelist/*
  • acs:ecs:{#regionId}:{#accountId}:portrangelist/{#portRangeListId}
StorageCapacityUnit
  • acs:ecs:{#regionId}:{#accountId}:scu/{#scuId}
  • acs:ecs:{#regionId}:{#accountId}:scu/*
HpcCluster
  • acs:ecs:{#regionId}:{#accountId}:hpc/*
  • acs:ecs:{#regionId}:{#accountId}:hpc/{#hpcClusterId}
ImageComponent
  • acs:ecs:{#regionId}:{#accountId}:imagecomponent/*
  • acs:ecs:{#regionId}:{#accountId}:imagecomponent/{#imagecomponentId}
Image
  • acs:ecs:{#regionId}:{#accountId}:image/{#imageId}
  • acs:ecs:{#regionId}:{#accountId}:image/*
KeyPair
  • acs:ecs:{#regionId}:{#accountId}:keypair/{#keypairId}
  • acs:ecs:{#regionId}:{#accountId}:keypair/{#keypairName}
  • acs:ecs:{#regionId}:{#accountId}:keypair/*
ReservedInstance
  • acs:ecs:{#regionId}:{#accountId}:reservedinstance/{#reservedinstanceId}
  • acs:ecs:{#regionId}:{#accountId}:reservedinstance/*
Snapshot
  • acs:ecs:{#regionId}:{#accountId}:snapshot/{#snapshotId}
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#autoSnapshotPolicyId}
  • acs:ecs:{#regionId}:{#accountId}:snapshot/*
  • acs:ecs::{#accountId}:snapshot/*
snapshotpolicy
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#snapshotpolicyId}
PrefixList
  • acs:ecs:{#regionId}:{#accountId}:prefixlist/{#PrefixListId}
DedicatedHostCluster
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/{#ddhclusterId}
  • acs:ecs:{#regionId}:{#accountId}:ddhcluster/*
SnapshotGroup
  • acs:ecs:{#regionId}:{#accountId}:snapshotgroup/*
  • acs:ecs:{#regionId}:{#accountId}:snapshotgroup/{#snapshotgroupId}
Vsc
  • acs:ecs:{#regionId}:{#accountId}:vsc/*
  • acs:ecs:{#regionId}:{#accountId}:vsc/{#VscId}
LaunchTemplate
  • acs:ecs:{#regionId}:{#accountId}:launchtemplate/{#launchtemplateId}
  • acs:ecs:{#regionId}:{#accountId}:launchtemplate/*
AutoSnapshotPolicy
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/{#SnapshotPolicyId}
  • acs:ecs:{#regionId}:{#accountId}:snapshotpolicy/*
CapacityReservation
  • acs:ecs:{#regionId}:{#accountId}:capacityreservation/{#CapacityReservationId}
  • acs:ecs:{#regionId}:{#accountId}:capacityreservation/*
VPC
  • acs:vpc:{#regionId}:{#accountId}:vpc/{#vpcId}
  • acs:vpc:{#regionId}:{#accountId}:vpc/*
ElasticityAssurance
  • acs:ecs:{#regionId}:{#accountId}:elasticityassurance/*
  • acs:ecs:{#regionId}:{#accountId}:elasticityassurance/{#ElasticityAssuranceId}
ImagePipeline
  • acs:ecs:{#regionId}:{#accountId}:imagepipeline/{#imagepipelineId}
  • acs:ecs:{#regionId}:{#accountId}:imagepipeline/*
VSwitch
  • acs:vpc:{#regionId}:{#accountId}:vswitch/{#vswitchId}
  • acs:vpc:{#regionId}:{#accountId}:vswitch/*
AutoProvisioningGroup
  • acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/*
  • acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/{#autoprovisioninggroupId}
Activation
  • acs:ecs:{#regionId}:{#accountId}:activation/*
  • acs:ecs:{#regionId}:{#accountId}:activation/{#ActivationId}
Role
  • acs:ram:{#regionId}:{#accountId}:role/{#roleName}
Command
  • acs:ecs:{#regionId}:{#accountId}:command/{#commandId}
  • acs:ecs:{#regionId}:{#accountId}:command/*
autoprovisioninggroup
  • acs:ecs:{#regionId}:{#accountId}:autoprovisioninggroup/{#autoprovisioninggroupId}
ServiceSettings
  • acs:ecs:{#regionId}:{#accountId}:servicesettings/{#servicesettingId}
ImagePipelineExecution
  • acs:ecs:{#regionId}:{#accountId}:imagepipelineexecution/*
  • acs:ecs:{#regionId}:{#accountId}:imagepipelineexecution/{#ImagePipelineExecutionId}
Fleet
  • acs:ecs:{#regionId}:{#accountId}:fleet/*
DiskEncryptionDefaultConfig
  • acs:ecs:{#regionId}:{#accountId}:diskencryptiondefaultconfig/*
DeploymentSet
  • acs:ecs:{#regionId}:{#accountId}:deploymentset/*
  • acs:ecs:{#regionid}:{#accountId}:deploymentset/{#deploymentSetId}
Invocation
  • acs:ecs:{#regionId}:{#accountId}:invocation/{#invocationId}
activation
  • acs:ecs:{#regionId}:{#accountId}:activation/{#activationId}
BandwidthPackage
  • acs:vpc:{#regionId}:{#accountId}:bandwidthpackage/{#BandwidthPackageId}
NatGateway
  • acs:vpc:{#regionId}:{#accountId}:natgateway/{#natgatewayid}
  • acs:vpc:{#regionId}:{#accountId}:natgateway/*
RouterInterface
  • acs:vpc:{#regionId}:{#accountId}:routerinterface/{#RouterInterfaceId}
  • acs:vpc:{#regionId}:{#accountId}:routerinterface/*
VirtualBorderRouter
  • acs:vpc:{#regionId}:{#accountId}:virtualborderrouter/{#VirtualBorderRouterId}
  • acs:vpc:{#regionId}:{#AccountId}:virtualborderrouter/*
  • acs:vpc:{#regionId}:{#accountId}:virtualborderrouter/{#VbrId}
PhysicalConnection
  • acs:vpc:{#regionId}:{#accountId}:physicalconnection/{#PhysicalConnectionId}
  • acs:vpc:{#regionId}:{#accountId}:physicalconnection/*
Address
  • acs:vpc:{#regionId}:{#accountId}:eip/{#AllocationId}
  • acs:vpc:{#regionId}:{#accountId}:eip/*
HaVip
  • acs:vpc:{#regionId}:{#accountId}:havip/{#HaVipId}
  • acs:vpc:{#regionId}:{#accountId}:havip/*
RouteTable
  • acs:vpc:{#regionId}:{#accountId}:routetable/{#RouteTableId}
ForwardTable
  • acs:vpc:{#regionId}:{#accountId}:forwardtable/{#ForwardTableId}
VRouter
  • acs:vpc:{#regionId}:{#accountId}:vrouter/{#VRouterId}
Association
  • acs:vpc:{#regionId}:{#accountId}:havip/{#HaVipId}

条件 (Condition)

下表に、 で定義されたプロダクトレベルの条件キーを示します。このほかに、Alibaba Cloud の共通条件キーを使用することもできます。これらのキーをポリシーステートメントのCondition要素として指定することで、きめ細かい権限付与ルールを定義できます。条件キーで、ポリシーのCondition_value要素で条件の値を指定します。

各条件キーには、文字列、数値、ブール値、IP アドレスといった特定のデータ型が定められています。データ型によって使用できる条件演算子が異なるため、キーのデータ型に基づいて適切な演算子を指定する必要があります。不適切な演算子を指定した場合、ポリシーステートメントは機能しません。データ型と条件演算子の対応関係については、「Condition_operator」をご参照ください。

条件キー

説明

データ型

ecs:ImagePlatform イメージのオペレーティングシステムタイプ String
ecs:SecurityEnhancementStrategy セキュリティ強化が有効かどうかを指定します。 String
vpc:CreateDefaultVpc デフォルト VPC を作成できるかどうかを指定します。 Boolean
ecs:AssociatePublicIpAddress リソースの作成時または構成変更時にパブリック IP アドレスをリソースに割り当てることができるかどうかを指定します。このパラメーターは、0 Mbit/s を超えるパブリック帯域幅でリソースを構成できるかどうかを示します。 Boolean
ecs:PasswordInherit イメージにプリセットされたパスワードを使用するかどうかを指定します。 Boolean
vpc:IsDefaultVSwitch vSwitch がデフォルト vSwitch であるかどうか、およびデフォルト vSwitch を使用できるかどうかを指定します。 Boolean
ecs:IsSystemDiskEncrypted システムディスクが暗号化するかどうかを指定します。 String
ecs:IsSystemDiskByokEncrypted マスターキーを使用してシステムディスクを暗号化するかどうかを指定します。 String
ecs:ImageSource イメージのソース String
ecs:PasswordCustomized カスタムパスワードを使用するかどうかを指定します。 Boolean
ecs:CommandRunAs クラウドアシスタントコマンドを実行するオペレーティングシステムユーザー。 String
ecs:SecurityHardeningMode インスタンスメタデータにアクセスする際に強化モード (IMDSv2) が必須かどうかを指定します。 Boolean
ecs:SecurityGroupSourceCidrIps セキュリティグループがアクセス権限を付与するソース IPv4 CIDR ブロック。 Array
vpc:VPC 説明: VPC リソースの Amazon リソースネーム (ARN)。例: acs:vpc:cn-shanghai:1234567890:vpc/vpc-abc0123efg4567***。 String
ecs:IsDiskEncrypted データディスクが暗号化するかどうかを指定します。 String
ecs:InstanceTypeFamily インスタンスファミリー。 String
ecs:InstanceChargeType インスタンスの課金メソッド。 String
ecs:ImageOwnerId イメージオーナーの UID。 String
ecs:SecurityGroupIpProtocols セキュリティグループで有効なトランスポートレイヤープロトコル。 Array
vpc:IsDefaultVpc VPC がデフォルト VPC かどうかを指定します。 Boolean
ecs:LoginAsNonRoot 非ルートユーザーでインスタンスにログオンするかどうかを指定します。 Boolean
ecs:IsDiskByokEncrypted マスターキーを使用してデータディスクを暗号化するかどうかを指定します。 String
ecs:InstanceType インスタンスタイプ String
ecs:NotSpecifySecurityGroupId セキュリティグループ ID が指定されていないかどうかを指定します。 Boolean

カスタム RAM ポリシーの作成方法

カスタムポリシーを作成し、RAM ユーザー、RAM ユーザーグループ、または RAM ロールに付与できます。詳細については、以下をご参照ください。