システムポリシーが特定の要件を満たすことができない場合は、カスタムポリシーを作成して、最小権限の原則を実装できます。 カスタムポリシーを使用すると、権限を細かく制御し、リソースアクセスのセキュリティを向上させることができます。 このトピックでは、Express Connectのカスタムポリシーのシナリオとサンプルについて説明します。
カスタムポリシーとは何ですか?
RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 カスタムポリシーを維持する必要があります。
カスタムポリシーを作成した後、ポリシーで指定された権限をプリンシパルに付与できるように、カスタムポリシーをRAMユーザー、ユーザーグループ、またはRAMロールにアタッチする必要があります。
プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。
関連ドキュメント
RAM権限付与情報
カスタムポリシーを使用するには、ビジネスの権限制御要件とプライベート接続の権限情報に注意する必要があります。 詳細については、「 RAM での権限付与」をご参照ください。
サンプルカスタムポリシー
サンプル1: すべてのExpress Connect回路の管理をRAMユーザーに許可します。
Alibaba CloudアカウントのIDが132193271328 **** で、アカウントに属するすべてのExpress Connect回線を管理する権限をRAMユーザーに付与するとします。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*PhysicalConnection*" ], "Resource": [ "acs:vpc:*:132193271328****:physicalconnection/*" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] } ] }例2: RAMユーザーに、特定のリージョンにデプロイされているVBRの管理を許可します。
中国 (青島) リージョンにデプロイされているVBRを管理、作成、または削除する権限をRAMユーザーに付与するとします。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Vbr*", ], "Resource": [ "acs:vpc:cn-qingdao:*:virtualborderrouter/*" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] } ] }例3: RAMユーザーに、特定のリージョンにデプロイされているルーターインターフェイスの管理を許可します。
中国 (青島) リージョンにあるルーターインターフェイスを管理、作成、または削除する権限をRAMユーザーに付与するとします。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*RouterInterface*" ], "Resource": [ "acs:vpc:cn-qingdao:*:routerinterface/ri-xxxx" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] } ] }