権限とは、特定の条件下でリソースに対する操作を許可または拒否するかどうかを指定するものです。アクセスポリシーは、アクセス権限のコレクションです。
権限
権限は、ポリシー内のステートメントによって定義され、特定リソースへの RAM エンティティからのアクセスを許可または拒否します。 次のリストで詳細を説明します。
Alibaba Cloud アカウントはリソースの所有者であり、すべての権限を制御します。
各 Alibaba Cloud リソースの所有者は 1 人だけです。所有者は Alibaba Cloud アカウントでなければならず、そのリソースに対する完全な制御権を持ちます。
リソース所有者は必ずしもリソース作成者とは限りません。たとえば、RAM ID に Alibaba Cloud リソースを作成する権限がある場合、この RAM ID によって作成されたリソースは、その RAM ID の Alibaba Cloud アカウントに属します。RAM ID はリソース作成者ですが、リソース所有者ではありません。
RAM ID はオペレーターであり、デフォルトでは権限はありません。
RAM ID はオペレーターを表し、そのすべての操作は Alibaba Cloud アカウントによって明示的に権限を付与される必要があります。
新規作成された RAM ID は、必要な権限を付与された後にのみ、コンソールや API オペレーションの呼び出しを通じてリソースを管理できます。
ポリシー
ポリシーとは、特定の構文形式に基づいてアクセス権限を定義する一連のルールで、権限付与の対象(リソースセット、操作セット)と条件を記述します。 ポリシーの要素、構造、および構文の詳細については、「ポリシーの要素」および「ポリシーの構造と構文」をご参照ください。
RAM では、次の 2 種類のポリシーがサポートされています。
システムポリシー: 事前定義済みのポリシーのことで、AIibaba Cloud によって作成または更新されているため、直接使用できますが、変更することはできません。
カスタムポリシー: 業務ニーズに合わせて、自由に作成、変更、削除、および更新できます。
RAM エンティティには複数のポリシーをアタッチすることができます。詳細については、「RAM ユーザーに権限を付与する」、「RAM ユーザーグループに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。
RAM エンティティへの権限付与
RAM エンティティに権限を付与するには、少なくとも 1 つのポリシーをアタッチする必要があります。
アタッチされた権限ポリシーは、システム権限ポリシーまたはカスタム権限ポリシーです。
アタッチされたポリシーが変更されると、変更後のポリシーが自動的に有効になるため、再アタッチする必要はありません。