システムポリシーがビジネス要件を満たさない場合は、カスタムポリシーを作成できます。最小権限の原則 (PoLP) に従ってカスタムポリシーを作成することで、きめ細かなアクセス制御による権限管理が可能になり、リソースへのアクセスセキュリティを向上させることができます。このトピックでは、Intelligent Media Management (IMM) のカスタムポリシーについて説明し、サンプルのカスタムポリシーを提供します。
カスタムポリシーとは
Resource Access Management (RAM) ポリシーは、システムポリシーとカスタムポリシーに分類されます。ビジネス要件に応じて、カスタムポリシーを管理できます。
カスタムポリシーを作成した後は、そのポリシーを RAM ユーザー、ユーザグループ、または RAM ロールにアタッチする必要があります。これにより、ポリシーで指定された権限がプリンシパルに付与されます。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、削除する前にそのプリンシパルから RAM ポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参考資料
カスタムポリシーの利用シーンと例
例 1: 特定のプロジェクトに対する特定の操作を許可
以下のサンプルポリシーは、すべての対応リージョンにおいて、名前が imm-test-doc で始まるプロジェクトのデータセットをクエリする権限をユーザーに付与します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:List*", "imm:Get*"],
"Resource": "acs:imm:*:150910xxxxxxxxxx:project/imm-test-doc*"
}
],
"Version": "1"
} 例 2:特定のリージョン内の特定のプロジェクトに対して特定の操作を許可
以下のサンプルポリシーは、ユーザーに次の操作を許可します。
中国 (上海) リージョンの imm-test-media-proj プロジェクトに対して、CreateFigureClusteringTask API および CreateFigureClustersMergingTask API を呼び出すことを許可します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj"
}
],
"Version": "1"
}
例 3:指定リージョン内の特定プロジェクトの特定データセットに対して特定の操作を許可
以下のサンプルポリシーは、ユーザーに次の操作を許可します。
中国 (上海) リージョンの imm-test-media-proj プロジェクト内の dataset1 データセットに対して、CreateFigureClusteringTask API および CreateFigureClustersMergingTask API を呼び出すことを許可します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj/dataset/dataset1"
}
],
"Version": "1"
}