カスタムポリシーを作成することで、きめ細かい権限管理を実現できます。
作成方法
-
Resource Access Management (RAM) は、WYSIWYG のビジュアルエディタを提供しています。効果、サービス、操作、リソース、条件を選択することで、カスタムポリシーを生成できます。組み込みのインテリジェントな検証機能により、ポリシーが有効かつ効果的であることを保証します。この方法は直感的でわかりやすいです。
-
RAM は、JSON スクリプトエディタを提供しています。ポリシーの構文と構造に従ってカスタムポリシーを作成する必要があります。この方法は柔軟性が高く、ポリシーの構文に精通している場合に適しています。
-
-
ポリシーテンプレートのインポート:RAM は、システム管理者、財務担当者、ネットワーク管理者など、一般的なシナリオ向けのポリシーテンプレートを提供しています。適切なポリシーテンプレートをインポートし、わずかな変更を加えるだけで、迅速にカスタムポリシーを作成できます。
-
システムポリシーのインポート:システムポリシーをインポートし、ビジネス要件に合わせて変更できます。これは、標準化されたテンプレートからカスタムポリシーを便利かつ迅速に作成する方法です。
-
ビジュアルエディタの使用
-
RAM 管理者として RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
ポリシー ページで、ポリシーの作成 をクリックします。
-
ポリシーの作成 ページで、視覚化 タブをクリックします。
ビジュアルエディタには、[効果] (必須、[許可] または [拒否] に設定可能、デフォルト:[許可])、[サービス] (必須)、[操作] (必須)、[リソース] (必須)、[条件] (任意) のフィールドを含むステートメントフォームが表示されます。[操作]、[リソース]、[条件] を設定する前に、サービスを選択する必要があります。ページ下部の [ステートメントの追加] をクリックして、さらにステートメントを追加できます。
-
ポリシーを設定します。
ポリシーの基本要素の詳細については、「ポリシーの基本要素」をご参照ください。
-
効果 セクションで、許可 または 却下 を選択します。
-
サービス セクションで、サービスを選択します。
説明コンソールには、ビジュアルエディタをサポートするサービスが表示されます。
-
操作 セクションで、全部操作 または 指定操作 を選択します。
前のステップで選択したサービスに基づいて、利用可能な操作が自動的に一覧表示されます。指定操作 を選択した場合は、次に特定の操作を選択する必要があります。
-
リソース セクションで、すべてのリソース または 指定资源 を選択します。
システムは、選択した操作に基づいて、利用可能なリソースタイプを自動的に一覧表示します。指定资源 を選択した場合、リソースを追加 をクリックして ARN を指定する必要があります。すべて選択 機能を使用すると、設定項目のすべてのリソースをすばやく選択できます。
説明UI では、関連付けられた操作の ARN は必要 としてマークされます。ポリシーが正しく機能するように、これらの ARN を指定してください。
-
条件 セクションで、条件を追加 をクリックして条件を設定します。
条件には、Alibaba Cloud の共通条件とサービス固有の条件があります。設定したサービスと操作に基づいて、利用可能な条件が自動的にリスト表示されます。条件キーを選択し、その値を設定するだけです。
-
ステートメントを追加 をクリックし、前のステップを繰り返して複数のステートメントを設定します。
-
-
ページの上部で、最適化 をクリックし、次に 行う をクリックしてポリシーの高度な最適化を実行します。
ポリシーの高度な最適化機能は、次のタスクを実行します:
-
互換性のない操作のリソースまたは条件を分割します。
-
リソースの範囲を絞り込みます。
-
重複するステートメントを削除またはマージします。
-
-
ポリシーの作成 ページで、OK をクリックします。
-
ポリシーの作成 ダイアログボックスで、[ポリシー名] と 説明 を入力し、次に OK をクリックします。
スクリプトエディタの使用
-
RAM 管理者として RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
ポリシー ページで、ポリシーの作成 をクリックします。
-
ポリシーの作成 ページで、JSON タブをクリックします。
ページに JSON エディタが表示されます。デフォルトのポリシーテンプレートには、
Version要素 ("1"に設定) とStatement配列が含まれています。各ステートメントには、Effect(デフォルトは"Allow")、Action、Resource、Condition要素が含まれています。ActionとResource要素を入力する必要があります。 -
ポリシーの内容を入力します。
ポリシーの構文と構造の詳細については、「ポリシーの構文と構造」をご参照ください。
-
ページの上部で、最適化 をクリックし、次に 行う をクリックしてポリシーの高度な最適化を実行します。
ポリシーの高度な最適化機能は、次のタスクを実行します:
-
互換性のない操作のリソースまたは条件を分割します。
-
リソースの範囲を絞り込みます。
-
重複するステートメントを削除またはマージします。
-
-
ポリシーの作成 ページで、OK をクリックします。
-
ポリシーの作成 ダイアログボックスで、[ポリシー名] と 説明 を入力し、OK をクリックします。
ポリシーのインポート
-
RAM 管理者として RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
ポリシー ページで、ポリシーの作成 をクリックします。
-
ポリシーの作成 ページで、引用ポリシー をクリックします。
-
引用ポリシー ダイアログボックスの右上隅で、ドロップダウンリストから [ポリシーテンプレート] または システムポリシー を選択します。
-
ポリシーテンプレートまたはシステムポリシーを選択します。
-
一部のポリシーテンプレートでは、ビジネス要件に基づいてパラメーターを設定する必要があります。
-
インポートされたポリシーの上書きルールを選択します。
デフォルトでは、インポートされたポリシーの内容が既存の内容を完全に上書きします。[上書きせず、末尾に新しい文を追加] を選択することもできます。
-
インポート をクリックします。
-
-
ビジュアルエディタまたはスクリプトエディタで、インポートされたポリシーの内容を表示および変更します。
-
ページの上部で最適化をクリックし、次に行うをクリックして、ポリシーの高度な最適化を実行します。
ポリシーの高度な最適化機能は、次のタスクを実行します:
-
互換性のない操作のリソースまたは条件を分割します。
-
リソースの範囲を絞り込みます。
-
重複するステートメントを削除またはマージします。
-
-
ポリシーの作成 ページで、OK をクリックします。
-
ポリシーの作成 ダイアログボックスで、[ポリシー名] と 説明 を入力し、OK をクリックします。