RAM ユーザーまたは RAM ロールを作成し、カスタムポリシーを付与することで、Alibaba Cloud アカウントの認証情報を共有することなく、IoT Platform で、きめ細かいアクセス制御を実現します。
背景情報
RAM と STS の概念とシナリオについては、「RAM と STS の概要」をご参照ください。アクセス制御の基礎については、「アクセス制御の基本概念」をご参照ください。
RAM サービスの詳細
|
サービス |
説明 |
|
RAM サービス名 |
IoT Platform |
|
RAM コード |
iot |
|
コンソールサポート |
あり |
|
API サポート |
あり |
|
認可粒度 |
API レベル。RAM ユーザーまたは RAM ロールは、特定のリソースタイプに対して指定された操作を実行できます。 |
|
システムポリシー |
|
ポリシー要素
RAM ポリシーは、エフェクト、アクション、リソース、条件、プリンシパルの各要素で構成されています。構文と評価ルールについては、「ポリシー言語」をご参照ください。
次の表では、IoT Platform のポリシー要素について説明します。
|
要素 |
必須 |
説明 |
|
エフェクト |
はい |
Allow または Deny を指定します。 説明
ポリシーに Allow と Deny の両方のステートメントが含まれている場合、Deny が優先されます。 |
|
アクション |
はい |
特定のリソースに対する操作を指定します。 IoT Platform のアクション形式は 複数のアクションをカンマ (,) で区切って指定でき、アスタリスク (*) ワイルドカードを使用できます。たとえば、 |
|
リソース |
はい |
認可されるオブジェクトを指定します。 IoT Platform は API レベルの認可のみをサポートし、個別の製品やデバイスに対するリソースレベルの認可はサポートしていません。リソースを |
|
条件 |
いいえ |
認可が有効になるタイミングを指定します。 IoT Platform は条件要素をサポートしていません。 |
RAM 認可アクション
各アクションは iot:${APIName} の形式に従います。API 名の完全なリストについては、「IoT Platform のすべてのパブリッククラウド API のリスト」をご参照ください。次の表は、IoT Platform のパブリック API のサンプルアクションと、リストに記載されていない API に対応する操作のアクションを示しています。
|
API 名または操作 |
RAM 認可操作 (アクション) |
リソース |
API の説明 |
|
CreateProduct |
iot:CreateProduct |
* |
製品を作成します。 |
|
DeleteConsumerGroupSubscribeRelation |
iot:DeleteConsumerGroupSubscribeRelation |
* |
AMQP サブスクリプション内の複数のコンシューマーグループから、指定されたコンシューマーグループを削除します。 |
|
AMQP サーバーサイドサブスクリプションの設定 |
iot:sub |
* |
AMQP サーバーサイドサブスクリプションの接続をサポートします。 |
|
製品証明書キーのリセット |
iot:ResetProductSecret |
* |
製品証明書の ProductSecret をリセットします。 |
はじめに
-
Alibaba Cloud アカウントはすべてのリソースに対する完全な権限を持ちます。送信元 IP や時間によるアクセス制限はできません。複数の人がアカウントを共有すると、操作を個々のユーザーに追跡できなくなります。アカウントが侵害されると、重大なセキュリティリスクとなります。日常業務に Alibaba Cloud アカウントを使用しないでください。
RAM で RAM ユーザーを作成し、AdministratorAccess 権限を付与してください。この管理者を使用して、他の RAM ユーザーを作成し、権限を付与してください。
-
RAM には、システムポリシー (事前定義済みで変更不可) とカスタムポリシーがあります。システムポリシーが要件を満たさない場合は、カスタムポリシーを作成してください。
-
RAM ユーザーの作成と認可:
-
RAM ユーザーを作成し、各ユーザーにその職務に必要な権限のみを割り当ててください。
これにより、Alibaba Cloud アカウントの認証情報の共有を回避し、最小権限の原則に従ってセキュリティリスクを軽減できます。
-
RAM ユーザーグループを使用して、同じ職務を共有するユーザーを分類し、認可することで、権限管理を簡素化できます。
-
RAM ロールの作成と認可、および RAM ユーザーへのロール引き受け権限の付与
RAM ロールは、永続的な認証情報を持たない仮想ユーザーです。信頼されたエンティティがロールを引き受け、一時的な STS 認証情報を受け取り、認可されたリソースにアクセスします。
-