Resource Access Management (RAM) のシステムポリシーが要件を満たせない場合は、最小権限の原則を実装するためにカスタムポリシーを作成できます。カスタムポリシーを使用すると、権限をきめ細かく制御し、リソースアクセスセキュリティを向上させることができます。
カスタムポリシーとは
Resource Access Management (RAM) ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーは自分で管理する必要があります。
カスタムポリシーを作成した後、RAM ユーザー、ユーザーグループ、または RAM ロールにアタッチする必要があります。これにより、ポリシーで指定された権限がプリンシパルに付与されます。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参考資料
例
例 1:IPv6 ゲートウェイに対する管理権限の付与
この例では、アカウントが 1234567 で、アカウント内のすべての IPv6 ゲートウェイに対する管理権限を RAM ユーザーに付与します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Ipv6*" ], "Resource": [ "acs:vpc:*:1234567:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }例 2:仮想プライベートクラウド (VPC) 内の IPv6 ゲートウェイに対する管理権限の付与
この例では、中国 (青島) リージョンの VPC に対する管理権限を RAM ユーザーに付与します。これにより、RAM ユーザーは VPC の IPv6 アドレスの割り当てまたは削除、および VPC の IPv6 インターネット帯域幅の有効化または無効化を行うことができます。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:cn-qingdao:*:ipv6address/*" ] }, "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:cn-qingdao:*:ipv6bandwidth/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "acs:ecs:cn-qingdao:*:*/*" ] } ] }
RAM 認証
カスタムポリシーを使用する前に、サービスの権限管理要件と IPv6 ゲートウェイ の認証の詳細を理解することをお勧めします。詳細については、RAM 認証 をご参照ください。