本ドキュメントでは、RAM ポリシーをわかりやすくするためのポリシーチェックルールについて説明します。
チェックルール
Alibaba Cloud アカウントを使用するか、権限付与された RAM ユーザーまたは RAM ロールを通じて、RAM 内の Alibaba Cloud リソースにアクセスできます。
RAM は、以下の表に示すルールに従ってアクセスを許可するかどうか決定します。
アクセス種別 | ルール |
---|---|
Alibaba Cloud アカウント | Alibaba Cloud アカウントはリソースの所有者であり、アカウントの下にあるすべての Alibaba Cloud リソースにアクセスできます。
注 Log Service など一部の Alibaba Cloud サービスは、クロスアカウント ACL 権限をサポートしています。 ACL 権限付与が成功した場合、アカウントがリソース所有者ではない場合でもアクセスが許可されます。
|
RAM ユーザー |
注 デフォルトでは、RAM ユーザーは Alibaba Cloud リソースにアクセスする権限を持っていません。 ユーザーは、上述両方のルールに満たしている場合にのみ
Alibaba Cloud リソースにアクセスできます。
RAM ユーザーの権限を確認する方法については、RAM ユーザーのポリシーチェックルールをご参照ください。 |
RAM ロール |
注 デフォルトでは、RAM ロールには Alibaba Cloud リソースにアクセスする権限がありません。 ロールは、前述のすべての規則を満たしている場合にのみ Alibaba
Cloud リソースにアクセスできます。
RAM ロールの権限を確認する方法については、RAM ロールのポリシーチェックルールをご参照ください。 |
RAM ユーザーのポリシーチェックルール
デフォルトでは、RAM ユーザーは Alibaba Cloud アカウントによって明示的な許可を与えられていない限り、リソースアクセス許可を持っていません。
注 ポリシーには
Allow
および Deny
ステートメントが含まれています。 リクエストに適用されるポリシーに許可 Allow
と拒否 Deny
ステートメントが同時に含まれている場合、Deny
が Allow
よりも優先されます。
RAM ユーザーとして Alibaba Cloud リソースにアクセスすると、システムは次のようにポリシーをチェックします。
- RAM ユーザーにアタッチされたポリシーに
Deny
ステートメントがあるかどうか:- ある場合、アクセスは拒否されます。
- ない場合、次のステップに進みます。
- RAM ユーザーの Alibaba Cloud アカウントにアタッチされたポリシーに
Allow
ステートメントがあるかどうか:- ある場合、アクセスは許可されます。
- ない場合、次のステップに進みます。
- RAM ユーザーの Alibaba Cloud アカウントにクロスアカウント ACL 権限があるかどうか:
- ある場合、アクセスは許可されます。
- ない場合、アクセスは拒否されます。
RAM ロールのポリシーチェックルール
STS トークンを使用して ロールの引き受け(AssumeRole) アクションを呼び出すことで、Alibaba Cloud リソースに RAM ロールとしてアクセスできます。 ポリシーパラメータは、リソースアクセス権限またはその他の権限を指定します。
RAM ロールとして Alibaba Cloud リソースにアクセスすると、システムは次のようにポリシーをチェックします。
- ポリシーが STS トークンにアタッチされているかどうか:
- ポリシーが STS トークンにアタッチされている場合、システムはそのポリシーに
Deny
ステートメントがあるかどうかをチェックします。- ある場合、アクセスは拒否されます。
- ない場合、システムは RAM ロールにアタッチされたポリシーをチェックします。
- STS トークンにポリシーがアタッチされていない場合、システムは RAM ロールにアタッチされたポリシーをチェックします。
- ポリシーが STS トークンにアタッチされている場合、システムはそのポリシーに
- RAM ロールにアタッチされたポリシーに
Deny
ステートメントがあるかどうか:- ある場合、アクセスは拒否されます。
- ない場合、次のステップに進みます。
- RAM ロールの Alibaba Cloud アカウントにアタッチされたポリシーに
Allow
ステートメントがあるかどうか:- ある場合、アクセスは許可されます。
- ない場合、次のステップに進みます。
- RAM ロールの Alibaba Cloud アカウントにクロスアカウント ACL 権限があるかどうか:
- ある場合、アクセスは許可されます。
- ない場合、アクセスは拒否されます。