Resource Access Management (RAM) のシステムポリシーが要件を満たせない場合は、カスタムポリシーを構成して、最小権限の原則を実装し、アクセス許可を細かく制御してリソースアクセスのセキュリティを強化できます。 このトピックでは、Global Accelerator (GA) にカスタムポリシーを使用できる一般的なシナリオについて説明し、例を示します。
カスタムポリシーとは何ですか?
RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 カスタムポリシーを維持する必要があります。
カスタムポリシーを作成した後、ポリシーで指定された権限をプリンシパルに付与できるように、カスタムポリシーをRAMユーザー、ユーザーグループ、またはRAMロールにアタッチする必要があります。
プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。
関連ドキュメント
カスタムポリシーとサンプルカスタムポリシーのシナリオ
条件を使用して、RAMユーザーが特定のGAリソースにアクセスできるようにし、RAMユーザーに特定の権限を付与できます。
例1: RAMユーザーが中国本土でのみアクセラレーションエリアとオリジンサーバーリージョンを追加できるようにする
{ "バージョン":"1" 、 "ステートメント":[ { "Action":[ "ga:CreateIpSets" 、 "ga:CreateEndpointGroup" 、 "ga:CreateEndpointGroups" ], "リソース":"*" 、 "効果":"許可" 、 "Condition":{ "StringEquals":{ "ga:AcceleratorMainland":[ "中国本土" ] } } } ] }例2: RAMユーザーが基本帯域幅プランのみを作成できるようにする
{ "バージョン":"1" 、 "ステートメント":[ { "Action":[ "ga:CreateBandwidthPackage" ], "リソース":"*" 、 "効果":"許可" 、 "Condition":{ "StringEquals":{ "ga:BandwidthPackageType":[ 「基本」 ] } } } ] }例3: RAMユーザーにHTTPSリスナーのバージョンが1.2以降のTLSセキュリティポリシーのみを追加できるようにする
{ "バージョン":"1" 、 "ステートメント":[ { "Action":[ "ga:CreateListener" ], "リソース":"*" 、 "効果":"許可" 、 "Condition":{ "StringEquals":{ "ga:TLSVersion":[ "tls_cipher_policy_1_2" 、 "tls_cipher_policy_1_2_strict" 、 「tls_cipher_policy_1_2_strict_with_1_3」 ] } } } ] }
権限付与情報
カスタムポリシーを使用するには、ビジネスの権限管理要件とGAに関する権限情報を理解する必要があります。 詳細については、「RAM権限付与」をご参照ください。