システムポリシーがビジネス要件を満たせない場合は、最小権限の原則を実装するためにカスタムポリシーを作成できます。 カスタムポリシーを使用して、きめ細かい権限制御を実装し、リソースのセキュリティを向上させることができます。 このトピックでは、カスタムポリシーの使用方法とカスタムポリシーの例について説明します。
カスタムポリシーとは
Resource Access Management ( RAM ) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、そのポリシーを RAM ユーザー、RAM ユーザーグループ、または RAM ロールにアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。 RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルから RAM ポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。 RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
リファレンス
カスタムポリシーの例
ワークフローを作成するための権限を付与します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "composer:CreateFlow", "composer:ListConnectors", "composer:GetFlow", "composer:ListFlowTriggers", "composer:ListConnectorTriggers", "composer:ListFlows", "composer:DescribeConnectorAttribute", "composer:ListInvocationLogs", "composer:DescribeConnectorCapability", "composer:UpdateFlow" ], "Resource": "*" } ] }ワークフローを表示するための権限を付与します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "composer:GetFlow", "composer:GetVersion", "composer:ListFlows", "composer:ListInvocationLogs", "composer:ListFlowTriggers", "composer:DescribeConnectorCapability", "composer:ListFlowConnections", "composer:ListVersions" ], "Resource": "*" } ] }