すべてのプロダクト
Search

このプロダクト

    Global Accelerator:Global AcceleratorとRAMの連携

    ドキュメントセンター

    Global Accelerator:Global AcceleratorとRAMの連携

    最終更新日:May 23, 2024

    Resource Access Management (RAM) はAlibaba Cloudサービスで、ユーザーIDとリソースに対するアクセス許可を安全かつ集中的に管理するのに役立ちます。 RAMを使用して、Global Accelerator (GA) のアクセス制御を有効にできます。

    概要

    RAMは権限制御を使用して、RAMユーザー、RAMユーザーグループ、およびRAMロールからリソースへのアクセスを規制します。 ポリシーは、権限のセットです。 RAMユーザー、ユーザーグループ、またはRAMロールにポリシーをアタッチして、リソースに対する権限を付与できます。

    権限

    次のセクションでは、Alibaba Cloudアカウント、RAMユーザー、およびリソース所有者の権限について説明します。

    • Alibaba Cloudアカウントはリソース所有者であり、すべての権限を制御します。

      • 各Alibaba Cloudリソースの所有者は1人だけです。 所有者はAlibaba Cloudアカウントであり、リソースを完全に管理できる必要があります。

      • リソースの所有者がリソースの作成者ではない場合もあります。 たとえば、RAMユーザーがAlibaba Cloudリソースを作成する権限を持っている場合、このRAMユーザーによって作成されたリソースは、RAMユーザーのAlibaba Cloudアカウントに属します。 RAM ユーザーはリソース作成者ですが、リソース所有者ではありません。

    • RAMユーザーには、デフォルトでは権限がありません。

      • RAMユーザーは、リソースの管理に使用されるIDです。 RAMユーザーが操作を実行する前に、Alibaba Cloudアカウントから必要な権限をRAMユーザーに付与する必要があります。 1つ以上の明示的な許可ポリシーをアタッチして、必要な権限を付与する必要があります。

      • 新しいRAMユーザーは、必要な権限が付与された場合にのみリソースを管理できます。

    • リソース作成者として、RAMユーザーには、作成されたリソースに対する権限が自動的に付与されません。

      • RAMユーザーは、必要な権限が付与された後にリソースを作成できます。

      • RAMユーザーに必要な権限を付与するには、リソース所有者が1つ以上の明示的な許可ポリシーをRAMユーザーにアタッチする必要があります。

    ポリシー

    ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、許可されたリソースセット、許可された操作セット、および許可条件を記述できます。

    RAMは、次の2種類のポリシーをサポートします。

    • システムポリシー: システムポリシーはAlibaba Cloudによって作成および更新されます。 システムポリシーを使用できます。 システムポリシーは変更できません。 Global Acceleratorのシステムポリシーの詳細については、「GAシステムポリシー」をご参照ください。

    • カスタムポリシー: システムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して、詳細な権限管理を実装できます。 カスタムポリシーの作成方法の詳細については、「GAカスタムポリシー」をご参照ください。

    プリンシパルへのポリシーのアタッチ

    ポリシーを作成した後、ポリシーをRAMユーザー、RAMユーザーグループ、またはRAMロールにアタッチして、ポリシーで定義されている権限をプリンシパルに付与できます。

    • RAMユーザー、RAMユーザーグループ、またはRAMロールに1つ以上のポリシーをアタッチできます。

    • アタッチされるポリシーは、システムポリシーまたはカスタムポリシーです。

    • アタッチされたポリシーが変更されると、変更は自動的に有効になります。 変更したポリシーをRAMプリンシパルに再度アタッチする必要はありません。

    サービスにリンクされたロール

    サービスにリンクされたロールは、信頼済みエンティティが Alibaba Cloud サービスである RAM ロールです。 サービスにリンクされたロールは、Alibaba Cloudサービス全体のアクセスを許可するために使用されます。 サービスにリンクされたロールは、リンクされたサービスのみが引き受けることができるRAMロールです。 ほとんどの場合、サービスは必要に応じてサービスにリンクされたロールを自動的に作成または削除します。 サービスにリンクされたロールは、サービスに他のサービスへのアクセスを許可するプロセスを簡素化し、誤操作によるリスクを軽減します。

    サービスにリンクされたロールにアタッチされているポリシーは、リンクされたサービスによって定義されます。 ポリシーを変更または削除することはできません。 サービスにリンクされたロールにポリシーをアタッチまたはデタッチすることはできません。

    Global Acceleratorが別のリソースにアクセスできるようにするには、Global Acceleratorにサービスリンクロールの作成を許可する必要があります。 次に、Global Acceleratorはこのロールを引き受けてリソースにアクセスします。 Global Acceleratorのサービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。