本ドキュメントでは、RAM ポリシーをわかりやすくするためのポリシーチェックルールについて説明します。

チェックルール

Alibaba Cloud アカウントを使用するか、権限付与された RAM ユーザーまたは RAM ロールを通じて、RAM 内の Alibaba Cloud リソースにアクセスできます。

RAM は、以下の表に示すルールに従ってアクセスを許可するかどうか決定します。

アクセス種別 ルール
Alibaba Cloud アカウント Alibaba Cloud アカウントはリソースの所有者であり、アカウントの下にあるすべての Alibaba Cloud リソースにアクセスできます。
Log Service など一部の Alibaba Cloud サービスは、クロスアカウント ACL 権限をサポートしています。 ACL 権限付与が成功した場合、アカウントがリソース所有者ではない場合でもアクセスが許可されます。
RAM ユーザー
  • Alibaba Cloud アカウントは、明示的な Allow 効果を持つポリシーを RAM ユーザーにアタッチしています。
  • RAM ユーザーが属する Alibaba Cloud アカウントは、特定の Alibaba Cloud リソースにアクセスする権限を持っています。
デフォルトでは、RAM ユーザーは Alibaba Cloud リソースにアクセスする権限を持っていません。 ユーザーは、上述両方のルールに満たしている場合にのみ Alibaba Cloud リソースにアクセスできます。

RAM ユーザーの権限を確認する方法については、RAM ユーザーのポリシーチェックルールをご参照ください。

RAM ロール
  • RAM ロールの STS トークンに必要な権限があります。

    RAM ロール STS トークンの詳細については、次をご参照ください 概要

  • Alibaba Cloud アカウントは、明示的な Allow 効果を持つポリシーを RAM ロールにアタッチしています。
  • RAM ロールが属する Alibaba Cloud アカウントには、特定の Alibaba Cloud リソースにアクセスする権限があります。
デフォルトでは、RAM ロールには Alibaba Cloud リソースにアクセスする権限がありません。 ロールは、前述のすべての規則を満たしている場合にのみ Alibaba Cloud リソースにアクセスできます。

RAM ロールの権限を確認する方法については、RAM ロールのポリシーチェックルールをご参照ください。

RAM ユーザーのポリシーチェックルール

デフォルトでは、RAM ユーザーは Alibaba Cloud アカウントによって明示的な許可を与えられていない限り、リソースアクセス許可を持っていません。

ポリシーには Allow および Deny ステートメントが含まれています。 リクエストに適用されるポリシーに許可 Allow と拒否 Deny ステートメントが同時に含まれている場合、DenyAllow よりも優先されます。

RAM ユーザーとして Alibaba Cloud リソースにアクセスすると、システムは次のようにポリシーをチェックします。

  1. RAM ユーザーにアタッチされたポリシーに Deny ステートメントがあるかどうか:
    • ある場合、アクセスは拒否されます。
    • ない場合、次のステップに進みます。
  2. RAM ユーザーの Alibaba Cloud アカウントにアタッチされたポリシーに Allow ステートメントがあるかどうか:
    • ある場合、アクセスは許可されます。
    • ない場合、次のステップに進みます。
  3. RAM ユーザーの Alibaba Cloud アカウントにクロスアカウント ACL 権限があるかどうか:
    • ある場合、アクセスは許可されます。
    • ない場合、アクセスは拒否されます。

RAM ロールのポリシーチェックルール

STS トークンを使用して ロールの引き受け(AssumeRole) アクションを呼び出すことで、Alibaba Cloud リソースに RAM ロールとしてアクセスできます。 ポリシーパラメータは、リソースアクセス権限またはその他の権限を指定します。

RAM ロールとして Alibaba Cloud リソースにアクセスすると、システムは次のようにポリシーをチェックします。

  1. ポリシーが STS トークンにアタッチされているかどうか:
    • ポリシーが STS トークンにアタッチされている場合、システムはそのポリシーに Deny ステートメントがあるかどうかをチェックします。
      • ある場合、アクセスは拒否されます。
      • ない場合、システムは RAM ロールにアタッチされたポリシーをチェックします。
    • STS トークンにポリシーがアタッチされていない場合、システムは RAM ロールにアタッチされたポリシーをチェックします。
  2. RAM ロールにアタッチされたポリシーに Deny ステートメントがあるかどうか:
    • ある場合、アクセスは拒否されます。
    • ない場合、次のステップに進みます。
  3. RAM ロールの Alibaba Cloud アカウントにアタッチされたポリシーに Allow ステートメントがあるかどうか:
    • ある場合、アクセスは許可されます。
    • ない場合、次のステップに進みます。
  4. RAM ロールの Alibaba Cloud アカウントにクロスアカウント ACL 権限があるかどうか:
    • ある場合、アクセスは許可されます。
    • ない場合、アクセスは拒否されます。