システムポリシーが要件を満たせない場合は、最小権限の原則を実装するためのカスタムポリシーを作成できます。カスタムポリシーを使用すると、権限をきめ細かく制御し、リソースアクセスセキュリティを向上させることができます。このトピックでは、カスタムポリシーについて説明し、ApsaraVideo Media Processing(MPS)のカスタムポリシーの例を示します。
カスタムポリシーとは
Resource Access Management(RAM)ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーは、作成、更新、および削除できます。カスタムポリシーは自分で管理する必要があります。
カスタムポリシーを作成した後、ポリシーで指定された権限をプリンシパルに付与するために、RAM ユーザー、ユーザーグループ、または RAM ロールにアタッチする必要があります。
プリンシパルにアタッチされていない RAM ポリシーは削除できます。RAM ポリシーがプリンシパルにアタッチされている場合は、RAM ポリシーを削除する前に、プリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAM が提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参照
カスタムポリシーの例
この例では、MPS にアクセスするために使用できる IP アドレスと、MPS にアクセスできる時間範囲を制限するカスタムポリシーを作成します。
RAM ユーザーは、192.0.2.0/24 と 203.0.113.2 からのみ MPS にアクセスできます。
RAM ユーザーは、2019年 8月 12日 17:00(UTC+8)より前にのみ MPS にアクセスできます。
{
"Version": "1",
"Statement": [{
"Effect": "Allow",
"Action": [
"mts:*",
"mts-inner:*"
],
"Resource": "*",
"Condition": {
"NotIpAddress": {
"acs:SourceIp": [
"192.0.2.0/24",
"203.0.113.2"
]},
"DateLessThan": {
"acs:CurrentTime": "2019-08-12T17:00:00+08:00"
}
}
]
}承認情報
カスタムポリシーを作成する前に、ビジネスの権限制御要件を理解し、MPS の承認ルールについて学習する必要があります。詳細については、「承認情報」をご参照ください。