システムポリシーとは何ですか?
システムポリシーとは、ポリシー構造と構文に基づいて定義される一連の権限を指します。 このポリシーを使用することで、権限が付与されたリソースセットと操作セット、および権限付与の条件を詳細に記述できます。 Alibaba Cloud Resource Access Management (RAM) では、システムポリシーとカスタムポリシーが提供されています。 システムポリシーは、Alibaba Cloud によって作成および更新されます。 ユーザーはシステムポリシーを使用することはできますが、変更することはできません。 一方、カスタムポリシーは、ユーザーが業務ニーズに応じて作成、更新および削除などのポリシー管理を行うことが可能です。 カスタムポリシーは作成、更新、削除できます。 サービスのイテレーション中に、KMSはシステムポリシーに新しい権限を追加して、新しい機能と機能をサポートします。 システムポリシーの更新は、このポリシーが適用されたすべての RAM ID (RAM ユーザー、RAM ユーザーグループ、RAM ロールなど)に影響を及ぼします。 RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新規ユーザーが管理コンソールで Alibaba Cloud をスムーズに利用できるように設計されています。システムポリシーに含まれる権限は、OpenAPI や CLI といったアクセス手段でも利用可能ですが、 セキュリティの観点から、高度な方法がわかるユーザーに、カスタムポリシーの使用をお勧めします。カスタムポリシーは、誰やどのアプリケーションに対して、どの API 操作権限を付与するかを細かく設定できるためです。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。 一部のクラウドサービスは、3 種類のポリシーのうち、1 つまたは 2 つのみ提供しています。 詳細については、以下のセクションで記載されたポリシーの種類をご参照ください。
サービスシステムポリシー
AliyunKMSCryptoAdminAccess
AliyunKMSCryptoAdminAccessポリシー: 管理コンソールを介してKMSの暗号化キーへの管理アクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
AliyunKMSCryptoUserAccess
AliyunKMSCryptoUserAccessポリシー: KMSの暗号化APIへのアクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
AliyunKMSFullAccess
AliyunKMSFullAccessポリシー: 管理コンソールを介してキー管理サービスへのフルアクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
AliyunKMSReadOnlyAccess
AliyunKMSReadOnlyAccessポリシー: Management Consoleを介してKey Management Serviceへの読み取り専用アクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
AliyunKMSSecretAdminAccess
AliyunKMSSecretAdminAccessポリシー: 管理コンソールを介してKMSのシークレットへの管理アクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
AliyunKMSSecretUserAccess
AliyunKMSSecretUserAccessポリシー: KMSでシークレットを取得するためのアクセスを提供します。 このポリシーは RAM ID に関連つけることが可能です。
サービス役割ポリシー
AliyunKMSManageRAMCredentialsRolePolicy
AliyunKMSManageRAMCredentialsRolePolicyポリシーは、AliyunKMSManageRAMCredentialsRoleサービスロールの専用権限付与ポリシーです。 デフォルトでは、kmsはこのロールを使用してユーザーのRAM資格情報を管理します。 このポリシーを、サービスロール以外のRAM IDにアタッチしないでください。 サービスが正確な承認機能を提供する場合は、サービスが提供するドキュメントを参照してください。
サービスにリンクされたロールポリシー
AliyunServiceRolePolicyForKMSSecretsManagerForPolarDB
KMSは、他のクラウドサービスのリソースにアクセスするために、サービスにリンクされたロールを引き受けます。 AliyunServiceRolePolicyForKMSSecretsManagerForPolarDBポリシーは、AliyunServiceRoleForKMSSecretsManagerForPolarDBサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーはKMSによって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
AliyunServiceRolePolicyForKMSSecretsManagerForPolarDB
AliyunServiceRolePolicyForKMSSecretsManagerForRedis
KMSは、他のクラウドサービスのリソースにアクセスするために、サービスにリンクされたロールを引き受けます。 AliyunServiceRolePolicyForKMSSecretsManagerForRedisポリシーは、AliyunServiceRoleForKMSSecretsManagerForRedisサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーはKMSによって定義され、使用されます。 ポリシーを変更または削除することはできません。 このポリシーを、サービスにリンクされたロール以外の RAM ID にアタッチしないでください。
関連ドキュメント
デフォルトでは、RAM ID には権限が付与されていません。 RAM ID は、アカウント管理者が RAM ID に必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のクラウドリソースにアクセスできます。 リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM ID に必要な権限のみを付与することを推奨します。 詳細については、以下のドキュメントをご参照ください。