Resource Access Management (RAM) は Alibaba Cloud によって提供される、ユーザーのアイデンティティとリソースの権限を管理するためのサービスです。RAM を使用すると、Alibaba Cloud アカウント (root ユーザー) のキーを他のユーザーと共有することを回避でき、ユーザーに必要最小限の権限を付与できます。RAM ではポリシーを使用して権限付与を定義します。このトピックでは、RAM ポリシーの一般的な構造と、 リソースアクセス管理 (RAM) のポリシーステートメントを構成する要素である「アクション (Action)」「リソース (Resource)」および「条件 (Condition) 」について説明します。 リソースアクセス管理 (RAM) は、RAM コード (RamCode) が ram で、 リソースレベル での権限付与がサポートされています。
一般的なポリシー構造
RAM ポリシーは、一般的に以下のような JSON 構造で構成されます。
{
"Version": "1",
"Statement": [
{
"Effect": "<Effect>",
"Action": "<Action>",
"Resource": "<Resource>",
"Condition": {
"<Condition_operator>": {
"<Condition_key>": [
"<Condition_value>"
]
}
}
}
]
} ポリシーのフィールドに関する説明:
Version:ポリシーのバージョン番号。現在のポリシーバージョンは 1 です。
Statement:
Effect:「許可するか、拒否するか」という、最終的な結果を定義します。有効な値:Allow (許可) または Deny (拒否)。
Action:「何をすることができるか、できないか」を定義する、リソースへの具体的な操作を指します。
Resource:「何に対して操作を行うか」を定義する、操作の具体的な対象です。対象となるリソースは、ARN (Alibaba Cloud Resource Name) を使用して指定できます。
Condition:「どのような状況下でポリシーが適用されるか」という、権限が有効になるための付加的な制約条件を定義します。このフィールドは任意です。
Condition operator:条件の演算子。条件キーの値とリクエスト値をどのように比較するかを定義する「比較方法」です。条件演算子は、条件のタイプによって異なります。
Condition_key:条件のキー。ポリシーの条件が満たされているかを判断するために、リクエストから参照・チェックされる特定の属性を指します。
Condition_value:条件の値。条件キーから取得されたリクエスト値と比較するための、具体的な「基準値」です。
アクション (Action)
下表に、リソースアクセス管理 (RAM) で定義されたアクションを示します。以下で各列名について説明します。
アクション:特定のリソースに対して実行可能な操作。ポリシー構文では
Action要素として指定します。API:アクションを具体的に実行するための API。
アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。
リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定する必要があります。
リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーの
Resource要素で対応する ARN を指定してください。リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーの
Resource要素でアスタリスク (*) でマークされます。
条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。詳細については、「共通条件キー」をご参照ください。
依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。
|
アクション |
API |
アクセスレベル |
リソースタイプ |
条件キー |
依存アクション |
| ram:ClearAccountAlias | ClearAccountAlias | update |
*全リソース
|
なし | なし |
| ram:ListPublicKeys | ListPublicKeys | list |
*ユーザー
|
なし | なし |
| ram:UploadPublicKey | UploadPublicKey | create |
*ユーザー
|
なし | なし |
| ram:SetSecurityPreference | SetSecurityPreference | update |
*全リソース
|
なし | なし |
| ram:ListVirtualMFADevices | ListVirtualMFADevices | get |
*MFAデバイス
|
なし | なし |
| ram:GetPolicy | GetPolicy | get |
ポリシー
ポリシー
|
なし | なし |
| ram:CreatePolicy | CreatePolicy | create |
*ポリシー
|
なし | なし |
| ram:DeleteGroup | DeleteGroup | delete |
*グループ
|
なし | なし |
| ram:SetAccountAlias | SetAccountAlias | update |
*全リソース
|
なし | なし |
| ram:GetPolicyVersion | GetPolicyVersion | get |
ポリシー
ポリシー
|
なし | なし |
| ram:CreateAccessKey | CreateAccessKey | create |
*ユーザー
|
なし | なし |
| ram:ListPoliciesForRole | ListPoliciesForRole | get |
*ロール
|
なし | なし |
| ram:DeactivateService | DeactivateService | update |
*全リソース
|
なし | なし |
| ram:BindMFADevice | BindMFADevice |
*ユーザー
|
なし | なし | |
| ram:ListRoles | ListRoles | get |
*ロール
|
なし | なし |
| ram:GetSecurityPreference | GetSecurityPreference | get |
*全リソース
|
なし | なし |
| ram:ListUsers | ListUsers | get |
*ユーザー
|
なし | なし |
| ram:UpdateAccessKey | UpdateAccessKey | update |
*ユーザー
|
なし | なし |
| ram:AttachPolicyToUser | AttachPolicyToUser | update |
ポリシー
*ユーザー
ポリシー
|
なし | なし |
| ram:DeleteRole | DeleteRole | delete |
*ロール
|
ram:TrustedPrincipalTypes ram:ServiceNames |
なし |
| ram:GetServiceLinkedRoleDeletionStatus | GetServiceLinkedRoleDeletionStatus | get |
*サービスリンクロール
|
ram:ServiceName |
なし |
| ram:CreateRole | CreateRole | create |
*ロール
|
ram:TrustedPrincipalTypes ram:ServiceNames |
なし |
| ram:DeleteLoginProfile | DeleteLoginProfile | delete |
*ユーザー
|
なし | なし |
| ram:ListGroupsForUser | ListGroupsForUser | get |
*ユーザー
|
なし | なし |
| ram:UpdateUser | UpdateUser | update |
*ユーザー
|
なし | なし |
| ram:ActivateService | ActivateService | update |
*全リソース
|
なし | なし |
| ram:DetachPolicyFromGroup | DetachPolicyFromGroup | update |
*グループ
ポリシー
ポリシー
|
なし | なし |
| ram:DecodeDiagnosticMessage | DecodeDiagnosticMessage | get |
*全リソース
|
なし | なし |
| ram:ListEntitiesForPolicy | ListEntitiesForPolicy | get |
ポリシー
ポリシー
|
なし | なし |
| ram:GetServiceLastAccessedDetails | GetServiceLastAccessedDetails | get |
*全リソース
|
なし | なし |
| ram:GetUser | GetUser | get |
*ユーザー
|
なし | なし |
| ram:GetGroup | GetGroup | get |
*グループ
|
なし | なし |
| ram:ListPolicies | ListPolicies | get |
*ポリシー
|
なし | なし |
| ram:UpdateRole | UpdateRole | update |
*ロール
|
ram:TrustedPrincipalTypes ram:ServiceNames |
なし |
| ram:AttachPolicyToRole | AttachPolicyToRole | update |
ポリシー
*ロール
ポリシー
|
ram:TrustedPrincipalTypes ram:ServiceNames |
なし |
| ram:GetPasswordPolicy | GetPasswordPolicy | get |
*全リソース
|
なし | なし |
| ram:AttachPolicyToGroup | AttachPolicyToGroup | update |
*グループ
ポリシー
ポリシー
|
なし | なし |
| ram:DeleteServiceLinkedRole | DeleteServiceLinkedRole | delete |
*サービスリンクロール
|
ram:ServiceName |
なし |
| ram:DetachPolicyFromRole | DetachPolicyFromRole | update |
ポリシー
*ロール
ポリシー
|
ram:TrustedPrincipalTypes ram:ServiceNames |
なし |
| ram:UpdatePolicyDescription | UpdatePolicyDescription | update |
*ポリシー
|
なし | なし |
| ram:ListRoles | ListRolesForService | list |
*ロール
|
なし | なし |
| ram:CreateLoginProfile | CreateLoginProfile | create |
*ユーザー
|
なし | なし |
| ram:UpdateLoginProfile | UpdateLoginProfile | update |
*ユーザー
|
なし | なし |
| ram:DeletePolicyVersion | DeletePolicyVersion | delete |
*ポリシー
|
なし | なし |
| ram:UntagResources | UntagResources | delete |
*全リソース
|
なし | なし |
| ram:RemoveUserFromGroup | RemoveUserFromGroup | update |
*グループ
*ユーザー
|
なし | なし |
| ram:ListTagResources | ListTagResources | list |
*全リソース
|
なし | なし |
| ram:GetRole | GetRole | get |
*ロール
|
なし | なし |
| ram:GetLoginProfile | GetLoginProfile | get |
*ユーザー
|
なし | なし |
| ram:CreateServiceLinkedRole | CreateServiceLinkedRole | create |
*全リソース
|
ram:ServiceName |
なし |
| ram:ListUsersForGroup | ListUsersForGroup | get |
*グループ
|
なし | なし |
| ram:GenerateServiceLastAccessedDetails | GenerateServiceLastAccessedDetails | create |
*全リソース
|
なし | なし |
| ram:TagResources | TagResources | create |
*全リソース
|
なし | なし |
| ram:DeleteUser | DeleteUser | delete |
*ユーザー
|
なし | なし |
| ram:DeletePolicy | DeletePolicy | delete |
*ポリシー
|
なし | なし |
| ram:AddUserToGroup | AddUserToGroup | create |
*グループ
*ユーザー
|
なし | なし |
| ram:GetAccountAlias | GetAccountAlias | get |
*全リソース
|
なし | なし |
| ram:UnbindMFADevice | UnbindMFADevice | update |
*ユーザー
|
なし | なし |
| ram:DeleteVirtualMFADevice | DeleteVirtualMFADevice | delete |
*MFAデバイス
|
なし | なし |
| ram:CreateUser | CreateUser | create |
*ユーザー
|
なし | なし |
| ram:DeletePublicKey | DeletePublicKey | delete |
*ユーザー
|
なし | なし |
| ram:CreateGroup | CreateGroup | create |
*グループ
|
なし | なし |
| ram:UpdateGroup | UpdateGroup | update |
*グループ
|
なし | なし |
| ram:ListAccessKeys | ListAccessKeys | get |
*ユーザー
|
なし | なし |
| ram:GetAccountSummary | GetAccountSummary | get |
*全リソース
|
なし | なし |
| ram:ListPolicyVersions | ListPolicyVersions | get |
ポリシー
ポリシー
|
なし | なし |
| ram:CreateVirtualMFADevice | CreateVirtualMFADevice | create |
*MFAデバイス
|
なし | なし |
| ram:SetDefaultPolicyVersion | SetDefaultPolicyVersion | update |
*ポリシー
|
なし | なし |
| ram:ListPoliciesForGroup | ListPoliciesForGroup | get |
*グループ
|
なし | なし |
| ram:GetPublicKey | GetPublicKey | get |
*ユーザー
|
なし | なし |
| ram:DeleteAccessKey | DeleteAccessKey | delete |
*ユーザー
|
なし | なし |
| ram:GetServiceStatus | GetServiceStatus | get |
*全リソース
|
なし | なし |
| ram:ChangePassword | ChangePassword | update |
*全リソース
|
なし | なし |
| ram:DetachPolicyFromUser | DetachPolicyFromUser | update |
ポリシー
*ユーザー
ポリシー
|
なし | なし |
| ram:ListPoliciesForUser | ListPoliciesForUser | get |
*ユーザー
|
なし | なし |
| ram:GetUserMFAInfo | GetUserMFAInfo | get |
*ユーザー
|
なし | なし |
| ram:CreatePolicyVersion | CreatePolicyVersion | create |
*ポリシー
|
なし | なし |
| ram:SetPasswordPolicy | SetPasswordPolicy | update |
*全リソース
|
なし | なし |
| ram:GetAccessKeyLastUsed | GetAccessKeyLastUsed | get |
*ユーザー
|
なし | なし |
| ram:UpdatePublicKey | UpdatePublicKey | update |
*ユーザー
|
なし | なし |
| ram:ListGroups | ListGroups | get |
*グループ
|
なし | なし |
リソース (Resource)
下表に、リソースアクセス管理 (RAM) で定義されたリソースを示します。ポリシーステートメントのResource要素で指定することで、特定のアクションの適用対象を設定できます。各リソースは対応する ARN を持ち、一意的に識別されます。ARN はacs:{#ramcode}:{#regionId}:{#accountId}:{#resourceType}形式で、構成要素は以下のとおりです。
acs:Alibaba Cloud Service の頭文字で、Alibaba Cloud のパブリッククラウドを指します。{#ramcode}:RAM における具体的な Alibaba Cloud サービスの識別コード。{#regionId}:リージョン ID。アスタリスク (*) に設定した場合、リソースがすべてのリージョンに適用することを示します。{#accountId}:Alibaba Cloud アカウントの ID。アスタリスク (*) に設定した場合、リソースがすべての Alibaba Cloud アカウントに適用することを示します。{#resourceType}:具体的な Alibaba Cloud サービスによって定義されたリソースの識別子で、ファイルパスに似た階層構造をサポートしています。アスタリスク (*) に設定した場合、ステートメントがすべてのリソースに適用することを示します。
リソースタイプ |
ARN |
| 無制限 |
|
| ユーザー |
|
| MFAデバイス |
|
| ポリシー |
|
| グループ |
|
| ロール |
|
| サービスリンクロール |
|
条件 (Condition)
下表に、リソースアクセス管理 (RAM) で定義されたプロダクトレベルの条件キーを示します。このほかに、Alibaba Cloud の共通条件キーを使用することもできます。これらのキーをポリシーステートメントのCondition要素として指定することで、きめ細かい権限付与ルールを定義できます。条件キーで、ポリシーのCondition_value要素で条件の値を指定します。
各条件キーには、文字列、数値、ブール値、IP アドレスといった特定のデータ型が定められています。データ型によって使用できる条件演算子が異なるため、キーのデータ型に基づいて適切な演算子を指定する必要があります。不適切な演算子を指定した場合、ポリシーステートメントは機能しません。データ型と条件演算子の対応関係については、「Condition_operator」をご参照ください。
条件キー |
説明 |
データ型 |
| acs:Service | ロールをクラウドサービスに引き渡す際の対象サービスIDです。この条件はPassRole操作にのみ適用されます。値の例: actiontrail.aliyuncs.com. | String |
| ram:ServiceNames | サービスロールの信頼されたクラウドサービスIDです。この条件は複数の値をサポートします。値の例: [\"ecs.aliyun.com\",\"rds.aliyuncs.com\"]. |
Array |
| ram:TrustedPrincipalTypes | ロールの信頼済みエンティティのタイプです。この条件は複数の値をサポートします。 |
Array |
カスタム RAM ポリシーの作成方法
カスタムポリシーを作成し、RAM ユーザー、RAM ユーザーグループ、または RAM ロールに付与できます。詳細については、以下をご参照ください。