このトピックでは、Alibaba Cloud の権限とポリシーについて説明します。ポリシーを作成して RAM エンティティ (ユーザー・ユーザーグループ・ロール) にアタッチすることで、各エンティティが持つリソースへのアクセス権限を管理できます。
権限
権限は、ポリシー内のステートメントによって定義され、特定リソースへの RAM エンティティからのアクセスを許可または拒否します。 次のリストで詳細を説明します。
Alibaba Cloud アカウントはリソースの所有者であり、すべての権限を制御します。
各種リソースの所有者は 1 人のみで、Alibaba Cloud アカウントである必要があります。Alibaba Cloud アカウントは root ユーザーのようにすべてのリソースを管理します。
リソース所有者は必ずしもリソース作成者であるとは限りません。 たとえば、リソース作成権限を持つ RAM エンティティはリソースを作成できますが、作成したリソースの所有者とはなりません。リソースの作成者が誰であるかに関わらず、その所有者は常に Alibaba Cloud アカウントとなります。
RAM エンティティはリソースの操作者であり、操作する前に権限を取得する必要があります。
RAM エンティティはリソースを管理する操作者です。 操作する前に、Alibaba Cloud アカウントから必要な権限を取得する必要があります。
作成された新規 RAM エンティティはデフォルトで一切の権限が付与されていません。コンソールまたは API 経由でのリソース操作を可能にするは、明示的な権限付与プロセスが必要です。
ポリシー
ポリシーとは、特定の構文形式に基づいてアクセス権限を定義する一連のルールで、権限付与の対象(リソースセット、操作セット)と条件を記述します。 ポリシーの要素、構造、および構文の詳細については、「ポリシーの要素」および「ポリシーの構造と構文」をご参照ください。
RAM では、次の 2 種類のポリシーがサポートされています。
システムポリシー: 事前定義済みのポリシーのことで、AIibaba Cloud によって作成または更新されているため、直接使用できますが、変更することはできません。
カスタムポリシー: 業務ニーズに合わせて、自由に作成、変更、削除、および更新できます。
RAM エンティティには複数のポリシーをアタッチすることができます。詳細については、「RAM ユーザーに権限を付与する」、「RAM ユーザーグループに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。
RAM エンティティへの権限付与
RAM エンティティに権限を付与するには、少なくとも 1 つのポリシーをアタッチする必要があります。
システムポリシーまたはカスタムポリシーをアタッチできます。
アタッチされたポリシーが変更されると、変更後のポリシーが自動的に有効になるため、再アタッチする必要はありません。