システムポリシーについて
ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 Alibaba Cloud Resource Access Management (RAM) では、システムポリシーとカスタムポリシーが提供されます。 すべてのシステムポリシーは、Alibaba Cloud によって作成および更新されます。 システムポリシーを使用することはできますが、変更することはできません。 カスタムポリシーは、ビジネス要件に基づいて管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 サービスの反復中に、Ga は新しい機能をサポートするためにシステムポリシーに新しい権限を追加します。 システムポリシーの更新は、RAM ユーザー、RAM ユーザーグループ、RAM ロールなど、ポリシーがアタッチされているすべての RAM ID に影響します。 RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新規ユーザーが管理コンソールで Alibaba Cloud プロダクトの使用を迅速に開始できるように設計されていますが、API 操作や CLI コマンドなどの、より高度な方法も使用できるようになっています。 高度な方法に精通している場合は、カスタムポリシーを使用して、誰がどの API 操作を呼び出すことができるかをより細かく制御し、セキュリティを向上させることを推奨します。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。 クラウドサービスによっては、3 種類のポリシーのうち、1 つまたは 2 つのみ提供されるものがあります。 詳細については、以下のセクションで説明するポリシーの種類をご参照ください。
サービスシステムポリシー
AliyunGlobalAccelerationFullAccess
AliyunGlobalAccelerationFullAccess ポリシー:管理コンソールを使用した Global Acceleration へのフルアクセスを提供します。 RAM ID にアタッチできます。
AliyunGlobalAccelerationFullAccess
AliyunGlobalAccelerationReadOnlyAccess
AliyunGlobalAccelerationReadOnlyAccessポリシー: 管理コンソールを介してGlobal Accelerationへの読み取り専用アクセスを提供します。 RAM ID にアタッチできます。
サービスにリンクされたロールポリシー
AliyunServiceRolePolicyForGaAlb
Ga は、サービスにリンクされたロール AliyunServiceRolePolicyForGaAlb を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaAlb ポリシーは、AliyunServiceRoleForGaAlb サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForGaAlb
AliyunServiceRolePolicyForGaAntiDdos
Ga は、サービスにリンクされたロール AliyunServiceRolePolicyForGaAntiDdos を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaAntiDdos ポリシーは、AliyunServiceRoleForGaAntiDdos サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForGaAntiDdos
AliyunServiceRolePolicyForGaCdt
Ga は、サービスにリンクされたロール AliyunServiceRolePolicyForGaCdt を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaCdt ポリシーは、AliyunServiceRoleForGaCdt サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForGaCdt
AliyunServiceRolePolicyForGaFlowlog
Gaは、サービスにリンクされたロール AliyunServiceRolePolicyForGaFlowlog を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaFlowlog ポリシーは、AliyunServiceRoleForGaFlowlog サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForGaFlowlog
AliyunServiceRolePolicyForGaNlb
Gaは、サービスにリンクされたロール AliyunServiceRolePolicyForGaNlb を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaNlb ポリシーは、AliyunServiceRoleForGaNlb サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForGaNlb
AliyunServiceRolePolicyForGaOss
Gaは、サービスにリンクされたロール AliyunServiceRolePolicyForGaOss を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaOss ポリシーは、AliyunServiceRoleForGaOss サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForGaOss
AliyunServiceRolePolicyForGaVpcEndpoint
Gaは、サービスにリンクされたロール AliyunServiceRolePolicyForGaVpcEndpoint を使用して、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForGaVpcEndpoint ポリシーは、AliyunServiceRoleForGaVpcEndpoint サービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Ga によって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
関連ドキュメント
デフォルトでは、RAM ID には権限が付与されていません。 RAM ID は、アカウント管理者が RAM ID に必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のクラウドリソースにアクセスできます。 リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM ID に必要な権限のみを付与することを推奨します。 詳細については、以下のトピックをご参照ください。