Resource Access Management (RAM) ポリシーを作成することで、Alibaba Cloud リソースのセキュリティを強化できます。このポリシーは、組織の営業時間など、特定の時間帯にのみアクセスを許可します。これにより、不正アクセスを防止し、セキュリティリスクを軽減できます。
仕組み
RAM ポリシーの Condition ブロックで acs:CurrentTime グローバル条件キーを使用することで、時刻ベースのアクセスを制御できます。このキーは、Alibaba Cloud がリクエストを受信する時刻を表します。
DateLessThan、DateGreaterThan、DateEquals などの日付と時刻の条件演算子、およびその「IfExists」バリアントを使用して、ポリシーで定義した特定の日付と時刻とリクエスト時刻を比較できます。時刻は ISO 8601 形式 (例: YYYY-MM-DDThh:mm:ssZ または YYYY-MM-DDThh:mm:ss+hh:mm) で指定する必要があります。
このチュートリアルでは、RAM ユーザーが Elastic Compute Service (ECS) インスタンスに対して任意のアクションを実行できるようにするカスタムポリシーを作成する方法を示します。ただし、リクエストは 2019 年 8 月 12 日 17:00 (UTC + 08:00) より前に行われた場合に限ります。
前提条件
RAM コンソールで RAM ユーザーとポリシーを作成および管理する権限があること。
操作手順
ステップ 1: 時間ベースのポリシー作成
まず、時間ベースの条件を含むカスタム RAM ポリシーを作成します。
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON Editor] タブをクリックします。
以下のポリシードキュメントをエディターにコピーして貼り付けます。日付と時刻は、ビジネス要件に合わせて変更できます。
{
"Statement": [
{
"Action": "ecs:*",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"DateLessThan": {
"acs:CurrentTime": "2019-08-12T17:00:00+08:00"
}
}
}
],
"Version": "1"
}このポリシーは、すべての ECS リソース (Resource: *) へのフルアクセス (ecs:*) を許可しますが、リクエスト時刻 (acs:CurrentTime) が指定されたタイムスタンプより前 (DateLessThan) である場合に限ります。
[OK] をクリックします。
ポリシーに [名前] (例:
Allow-ECS-Access-Before-Cutoff) を入力し、[OK] をクリックします。
詳細については、「カスタムポリシーの作成」をご参照ください。
ステップ 2: RAM ユーザー作成
次に、この時間制限の対象となる RAM ユーザーを作成します。
左側のナビゲーションウィンドウで、を選択します。
[ユーザーの作成] をクリックします。
ユーザー名を入力し、アクセスモード ([コンソールアクセス] など) を選択します。プロンプトに従ってユーザーの作成を完了します。詳細については、「RAM ユーザーを作成する」をご参照ください。
ステップ 3: ポリシーのアタッチとアクセス検証
最後に、ポリシーを RAM ユーザーにアタッチし、制限が期待どおりに機能するかどうかをテストします。
「ユーザー」ページで、先ほど作成したユーザーを見つけ、「操作」列の「ポリシーのアタッチ」をクリックします。
[ポリシーのアタッチ] パネルで、ステップ 1 で作成した IP ベースのポリシー (
Allow-ECS-Access-Before-Cutoffなど) を検索して選択します。[OK] をクリックし、次に [Close] をクリックします。
ポリシーの検証:
新しい RAM ユーザーとして Alibaba Cloud 管理コンソールにログインし、ECS リソースへのアクセスを試みます。現在の時刻がポリシーで指定されたカットオフ時刻より前であれば、リクエストは成功するはずです。
現在の時刻がカットオフ時刻より後であれば、リクエストは「権限拒否」エラーで拒否されるはずです。
詳細については、「RAM ユーザーへの権限付与」をご参照ください。