すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:権限管理

最終更新日:Jul 15, 2026

Resource Access Management (RAM) は Alibaba Cloud によって提供される、ユーザーのアイデンティティとリソースの権限を管理するためのサービスです。RAM を使用すると、Alibaba Cloud アカウント (root ユーザー) のキーを他のユーザーと共有することを回避でき、ユーザーに必要最小限の権限を付与できます。RAM ではポリシーを使用して権限付与を定義します。このトピックでは、RAM ポリシーの一般的な構造と、 リソースアクセス管理 (RAM) のポリシーステートメントを構成する要素である「アクション (Action)」「リソース (Resource)」および「条件 (Condition) 」について説明します。 リソースアクセス管理 (RAM) は、RAM コード (RamCode) が ram で、 リソースレベル での権限付与がサポートされています。

一般的なポリシー構造

RAM ポリシーは、一般的に以下のような JSON 構造で構成されます。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "<Effect>",
      "Action": "<Action>",
      "Resource": "<Resource>",
      "Condition": {
        "<Condition_operator>": {
          "<Condition_key>": [
            "<Condition_value>"
          ]
        }
      }
    }
  ]
}        

ポリシーのフィールドに関する説明:

  • Version:ポリシーのバージョン番号。現在のポリシーバージョンは 1 です。

  • Statement:

    • Effect:「許可するか、拒否するか」という、最終的な結果を定義します。有効な値:Allow (許可) または Deny (拒否)。

    • Action:「何をすることができるか、できないか」を定義する、リソースへの具体的な操作を指します。

    • Resource:「何に対して操作を行うか」を定義する、操作の具体的な対象です。対象となるリソースは、ARN (Alibaba Cloud Resource Name) を使用して指定できます。

    • Condition:「どのような状況下でポリシーが適用されるか」という、権限が有効になるための付加的な制約条件を定義します。このフィールドは任意です。

      • Condition operator:条件の演算子。条件キーの値とリクエスト値をどのように比較するかを定義する「比較方法」です。条件演算子は、条件のタイプによって異なります。

      • Condition_key:条件のキー。ポリシーの条件が満たされているかを判断するために、リクエストから参照・チェックされる特定の属性を指します。

      • Condition_value:条件の値。条件キーから取得されたリクエスト値と比較するための、具体的な「基準値」です。

アクション (Action)

下表に、リソースアクセス管理 (RAM) で定義されたアクションを示します。以下で各列名について説明します。

  • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

  • API:アクションを具体的に実行するための API。

  • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

  • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定する必要があります。

    • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

    • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

  • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。詳細については、「共通条件キー」をご参照ください。

  • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

API

アクセスレベル

リソースタイプ

条件キー

依存アクション

ram:ClearAccountAlias ClearAccountAlias update

*全リソース

*

なし なし
ram:ListPublicKeys ListPublicKeys list

*ユーザー

acs:ram::{#accountId}:user/{#UserName}

なし なし
ram:UploadPublicKey UploadPublicKey create

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:SetSecurityPreference SetSecurityPreference update

*全リソース

*

なし なし
ram:ListVirtualMFADevices ListVirtualMFADevices get

*MFAデバイス

acs:ram:*:{#accountId}:mfa/*

なし なし
ram:GetPolicy GetPolicy get

ポリシー

acs:ram:*:system:policy/{#PolicyName}

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:CreatePolicy CreatePolicy create

*ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:DeleteGroup DeleteGroup delete

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

なし なし
ram:SetAccountAlias SetAccountAlias update

*全リソース

*

なし なし
ram:GetPolicyVersion GetPolicyVersion get

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

なし なし
ram:CreateAccessKey CreateAccessKey create

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:ListPoliciesForRole ListPoliciesForRole get

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

なし なし
ram:DeactivateService DeactivateService update

*全リソース

*

なし なし
ram:BindMFADevice BindMFADevice

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:ListRoles ListRoles get

*ロール

acs:ram:*:{#accountId}:role/*

なし なし
ram:GetSecurityPreference GetSecurityPreference get

*全リソース

*

なし なし
ram:ListUsers ListUsers get

*ユーザー

acs:ram:*:{#accountId}:user/*

なし なし
ram:UpdateAccessKey UpdateAccessKey update

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:AttachPolicyToUser AttachPolicyToUser update

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

なし なし
ram:DeleteRole DeleteRole delete

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

ram:TrustedPrincipalTypes

ram:ServiceNames

なし
ram:GetServiceLinkedRoleDeletionStatus GetServiceLinkedRoleDeletionStatus get

*サービスリンクロール

acs:ram:*:{#accountId}:role/{#RoleName}

ram:ServiceName

なし
ram:CreateRole CreateRole create

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

ram:TrustedPrincipalTypes

ram:ServiceNames

なし
ram:DeleteLoginProfile DeleteLoginProfile delete

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:ListGroupsForUser ListGroupsForUser get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:UpdateUser UpdateUser update

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:ActivateService ActivateService update

*全リソース

*

なし なし
ram:DetachPolicyFromGroup DetachPolicyFromGroup update

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:DecodeDiagnosticMessage DecodeDiagnosticMessage get

*全リソース

*

なし なし
ram:ListEntitiesForPolicy ListEntitiesForPolicy get

ポリシー

acs:ram:*:system:policy/{#PolicyName}

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:GetServiceLastAccessedDetails GetServiceLastAccessedDetails get

*全リソース

*

なし なし
ram:GetUser GetUser get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:GetGroup GetGroup get

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

なし なし
ram:ListPolicies ListPolicies get

*ポリシー

acs:ram:*:{#accountId}:policy/*

なし なし
ram:UpdateRole UpdateRole update

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

ram:TrustedPrincipalTypes

ram:ServiceNames

なし
ram:AttachPolicyToRole AttachPolicyToRole update

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

ram:TrustedPrincipalTypes

ram:ServiceNames

なし
ram:GetPasswordPolicy GetPasswordPolicy get

*全リソース

*

なし なし
ram:AttachPolicyToGroup AttachPolicyToGroup update

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

なし なし
ram:DeleteServiceLinkedRole DeleteServiceLinkedRole delete

*サービスリンクロール

acs:ram:*:{#accountId}:role/{#RoleName}

ram:ServiceName

なし
ram:DetachPolicyFromRole DetachPolicyFromRole update

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

ram:TrustedPrincipalTypes

ram:ServiceNames

なし
ram:UpdatePolicyDescription UpdatePolicyDescription update

*ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:ListRoles ListRolesForService list

*ロール

acs:ram:*:{#accountId}:role/*

なし なし
ram:CreateLoginProfile CreateLoginProfile create

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:UpdateLoginProfile UpdateLoginProfile update

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:DeletePolicyVersion DeletePolicyVersion delete

*ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:UntagResources UntagResources delete

*全リソース

*

なし なし
ram:RemoveUserFromGroup RemoveUserFromGroup update

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:ListTagResources ListTagResources list

*全リソース

*

なし なし
ram:GetRole GetRole get

*ロール

acs:ram:*:{#accountId}:role/{#RoleName}

なし なし
ram:GetLoginProfile GetLoginProfile get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:CreateServiceLinkedRole CreateServiceLinkedRole create

*全リソース

*

ram:ServiceName

なし
ram:ListUsersForGroup ListUsersForGroup get

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

なし なし
ram:GenerateServiceLastAccessedDetails GenerateServiceLastAccessedDetails create

*全リソース

*

なし なし
ram:TagResources TagResources create

*全リソース

*

なし なし
ram:DeleteUser DeleteUser delete

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:DeletePolicy DeletePolicy delete

*ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:AddUserToGroup AddUserToGroup create

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:GetAccountAlias GetAccountAlias get

*全リソース

*

なし なし
ram:UnbindMFADevice UnbindMFADevice update

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:DeleteVirtualMFADevice DeleteVirtualMFADevice delete

*MFAデバイス

acs:ram:*:{#accountId}:mfa/{#SerialNumber}

なし なし
ram:CreateUser CreateUser create

*ユーザー

acs:ram:*:{#accountId}:user/*

なし なし
ram:DeletePublicKey DeletePublicKey delete

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:CreateGroup CreateGroup create

*グループ

acs:ram:*:{#accountId}:group/*

なし なし
ram:UpdateGroup UpdateGroup update

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

なし なし
ram:ListAccessKeys ListAccessKeys get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:GetAccountSummary GetAccountSummary get

*全リソース

*

なし なし
ram:ListPolicyVersions ListPolicyVersions get

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

なし なし
ram:CreateVirtualMFADevice CreateVirtualMFADevice create

*MFAデバイス

acs:ram:*:{#accountId}:mfa/*

なし なし
ram:SetDefaultPolicyVersion SetDefaultPolicyVersion update

*ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:ListPoliciesForGroup ListPoliciesForGroup get

*グループ

acs:ram:*:{#accountId}:group/{#GroupName}

なし なし
ram:GetPublicKey GetPublicKey get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:DeleteAccessKey DeleteAccessKey delete

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:GetServiceStatus GetServiceStatus get

*全リソース

*

なし なし
ram:ChangePassword ChangePassword update

*全リソース

*

なし なし
ram:DetachPolicyFromUser DetachPolicyFromUser update

ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

ポリシー

acs:ram:*:system:policy/{#PolicyName}

なし なし
ram:ListPoliciesForUser ListPoliciesForUser get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:GetUserMFAInfo GetUserMFAInfo get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:CreatePolicyVersion CreatePolicyVersion create

*ポリシー

acs:ram:*:{#accountId}:policy/{#PolicyName}

なし なし
ram:SetPasswordPolicy SetPasswordPolicy update

*全リソース

*

なし なし
ram:GetAccessKeyLastUsed GetAccessKeyLastUsed get

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:UpdatePublicKey UpdatePublicKey update

*ユーザー

acs:ram:*:{#accountId}:user/{#UserName}

なし なし
ram:ListGroups ListGroups get

*グループ

acs:ram:*:{#accountId}:group/*

なし なし

リソース (Resource)

下表に、リソースアクセス管理 (RAM) で定義されたリソースを示します。ポリシーステートメントのResource要素で指定することで、特定のアクションの適用対象を設定できます。各リソースは対応する ARN を持ち、一意的に識別されます。ARN はacs:{#ramcode}:{#regionId}:{#accountId}:{#resourceType}形式で、構成要素は以下のとおりです。

  • acs:Alibaba Cloud Service の頭文字で、Alibaba Cloud のパブリッククラウドを指します。

  • {#ramcode}:RAM における具体的な Alibaba Cloud サービスの識別コード。

  • {#regionId}リージョン ID。アスタリスク (*) に設定した場合、リソースがすべてのリージョンに適用することを示します。

  • {#accountId}:Alibaba Cloud アカウントの ID。アスタリスク (*) に設定した場合、リソースがすべての Alibaba Cloud アカウントに適用することを示します。

  • {#resourceType}:具体的な Alibaba Cloud サービスによって定義されたリソースの識別子で、ファイルパスに似た階層構造をサポートしています。アスタリスク (*) に設定した場合、ステートメントがすべてのリソースに適用することを示します。

リソースタイプ

ARN

無制限
  • acs:ram:*:{#accountId}:*
ユーザー
  • acs:ram::{#accountId}:user/{#UserName}
  • acs:ram:*:{#accountId}:user/{#UserName}
  • acs:ram:*:{#accountId}:user/*
  • {#Arn}
MFAデバイス
  • acs:ram:*:{#accountId}:mfa/*
  • acs:ram:*:{#accountId}:mfa/{#SerialNumber}
ポリシー
  • acs:ram:*:system:policy/{#PolicyName}
  • acs:ram:*:{#accountId}:policy/{#PolicyName}
  • acs:ram:*:{#accountId}:policy/*
  • acs:ram::{#accountId}:policy/{#PolicyName}
グループ
  • acs:ram:*:{#accountId}:group/{#GroupName}
  • acs:ram:*:{#accountId}:group/*
ロール
  • acs:ram:*:{#accountId}:role/{#RoleName}
  • acs:ram:*:{#accountId}:role/*
  • acs:ram::{#accountId}:role/{#RoleName}
サービスリンクロール
  • acs:ram:*:{#accountId}:role/{#RoleName}
  • acs:ram:*:{#accountId}:role/*

条件 (Condition)

下表に、リソースアクセス管理 (RAM) で定義されたプロダクトレベルの条件キーを示します。このほかに、Alibaba Cloud の共通条件キーを使用することもできます。これらのキーをポリシーステートメントのCondition要素として指定することで、きめ細かい権限付与ルールを定義できます。条件キーで、ポリシーのCondition_value要素で条件の値を指定します。

各条件キーには、文字列、数値、ブール値、IP アドレスといった特定のデータ型が定められています。データ型によって使用できる条件演算子が異なるため、キーのデータ型に基づいて適切な演算子を指定する必要があります。不適切な演算子を指定した場合、ポリシーステートメントは機能しません。データ型と条件演算子の対応関係については、「Condition_operator」をご参照ください。

条件キー

説明

データ型

acs:Service ロールをクラウドサービスに引き渡す際の対象サービスIDです。この条件はPassRole操作にのみ適用されます。値の例: actiontrail.aliyuncs.com. String
ram:ServiceNames サービスロールの信頼されたクラウドサービスIDです。この条件は複数の値をサポートします。値の例: [\"ecs.aliyun.com\",\"rds.aliyuncs.com\"]. Array
ram:TrustedPrincipalTypes ロールの信頼済みエンティティのタイプです。この条件は複数の値をサポートします。 Array

カスタム RAM ポリシーの作成方法

カスタムポリシーを作成し、RAM ユーザー、RAM ユーザーグループ、または RAM ロールに付与できます。詳細については、以下をご参照ください。