このトピックでは、RAM を使用して Alibaba Cloud リソースにアクセスする方法を制限することで、より高いレベルのセキュリティを確保する方法について説明します。

始める前に

  • Alibaba Cloud アカウントが作成済みである必要があります。 作成済みでない場合は、次に進む前に作成してください。 Alibaba Cloud アカウントを作成するには、「」https://account.alibabacloud.com/register/intl_register.htmをクリックします。
  • RAM サービスが有効になり、RAM コンソールにログインできます。 RAM サービスが有効になっていない場合は、次に進む前にサービスを有効化します。 詳細は、「有効化する方法」をご参照ください。
  • カスタムポリシーを作成する前に、ポリシー要素、構造、および構文の基本知識を持っている必要があります。 詳細については、「ポリシー要素」および「ポリシー構造と構文」をご参照ください。

このタスクについて

企業 A が、ECS インスタンス、RDS インスタンス、SLB インスタンス、OSS バケットなど、複数のタイプの Alibaba Cloud リソースを購入しました。 この企業は、ビジネスとデータのセキュリティを確保するために、RAM ユーザーによる Alibaba Cloud リソースへのアクセス方法を HTTPS メソッドのみにすることを希望しています。

対応策

RAM ユーザーが HTTPS メソッドのみで Alibaba Cloud リソースにアクセスできるようにするには、RAM ユーザーのカスタムポリシーを作成してアタッチします。

  1. RAM ユーザーの作成.
  2. カスタムポリシーの作成.
  3. RAM ユーザーへの権限付与.

カスタムポリシーの作成

  1. 左側のナビゲーションウィンドウで、[権限] から [ポリシー] をクリックします。
  2. [ポリシー] ページで [ポリシーの作成] をクリックします。
  3. 表示されるページで、[Policy Name] および [Note] パラメーターを指定します。
  4. [設定モード] から、[スクリプト] を選択します。 次のサンプルスクリプトをコピーして [ポリシードキュメント] エリアに貼り付け、ビジネスニーズに応じてスクリプトを編集します。
    Alibaba Cloud リソースにアクセスする方法の制限

    次のポリシーが RAM ユーザーにアタッチされている場合、RAM ユーザーは HTTPS メソッドのみを使用して ECS インスタンスにアクセスできます。 この場合、Conditionacs:SecureTransport パラメーターを true に設定します。 

    {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {        
        "Bool": {
          "acs:SecureTransport": "true"
        }
      }
    }
  ],
  "Version": "1"
}
    Condition の設定は、現在のポリシーに指定されている操作にのみ適用されます。 acs:SecureTransport パラメーターの有効値には、true および false が含まれます。
  5. [OK] をクリックします。