リソースのデータセキュリティを確保するために、リソースアクセス管理 (RAM) ポリシーを使用してリソースのアクセス制御を有効にすることができます。 このトピックでは、NAT GatewayのRAMポリシーについて説明します。
概要
RAMは権限制御を使用して、RAMユーザー、RAMユーザーグループ、およびRAMロールからリソースへのアクセスを規制します。 ポリシーは、権限のセットです。 RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチして、リソースに対する権限を付与できます。
権限
Alibaba Cloudアカウント、RAMユーザー、およびリソース作成者には、異なるデフォルト権限があります。
Alibaba Cloudアカウントはリソース所有者であり、すべての権限を制御します。
各Alibaba Cloudリソースの所有者は1人だけです。 所有者はAlibaba Cloudアカウントであり、リソースを完全に管理できる必要があります。
リソースの所有者がリソースの作成者ではない場合もあります。 たとえば、RAM IDにAlibaba Cloudリソースを作成する権限がある場合、このRAM IDによって作成されたリソースはRAM IDのAlibaba Cloudアカウントに属します。 RAM IDはリソース作成者ですが、リソース所有者ではありません。
RAM IDは演算子であり、デフォルトでは権限はありません。
RAM IDは、リソースの管理に使用される演算子です。 RAM IDが操作を実行する前に、Alibaba Cloudアカウントから必要な権限がRAM IDに付与されている必要があります。 1つ以上の明示的な許可ポリシーをアタッチして、必要な権限を付与する必要があります。
新しいRAM IDは、RAM IDに必要な権限が付与された後にのみ、コンソールを使用してAPI操作を呼び出すことによってリソースを管理できます。
ポリシー
ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。
RAMは、次の2種類のポリシーをサポートします。
システムポリシー: システムポリシーはAlibaba Cloudによって作成および更新されます。 これらのポリシーは使用できますが、変更することはできません。 詳細については、「NAT Gatewayのシステムポリシー」をご参照ください。
カスタムポリシー: システムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して、詳細な権限管理を実装できます。 詳細については、「NAT Gatewayのカスタムポリシー」をご参照ください。
プリンシパルへのポリシーのアタッチ
ポリシーを作成した後、ポリシーをRAMユーザー、RAMユーザーグループ、またはRAMロールにアタッチして、ポリシーで定義されている権限をプリンシパルに付与できます。
RAMユーザー、RAMユーザーグループ、またはRAMロールに1つ以上のポリシーをアタッチできます。
アタッチされるポリシーは、システムポリシーまたはカスタムポリシーです。
アタッチされたポリシーが変更されると、変更は自動的に有効になります。 変更したポリシーをRAMプリンシパルに再度アタッチする必要はありません。