RAMポリシーを使用してApsaraDB RDSインスタンスのRAMユーザーの権限を管理する - ApsaraDB RDS

このトピックでは、RAM (Resource Access Management) ポリシーをRAMユーザーにアタッチして、ApsaraDB RDSインスタンスのRAMユーザーの権限を管理する方法について説明します。

概要

Alibaba Cloudでは、RAMポリシーを使用してRDSインスタンスのセキュリティを向上させることができます。 RAMポリシーを使用して、RDSインスタンスのRAMユーザーに異なる権限を付与できます。詳細については、「ApsaraDB RDSのRAMポリシー」をご参照ください。

説明

RAMポリシーの詳細については、「ポリシーの概要」をご参照ください。

手順

RAMコンソールにログインします。
左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
表示されるページで、[ポリシーの作成] をクリックします。表示されるページの [JSON] タブで、RAMポリシースクリプトを入力し、[次へ] をクリックしてポリシー情報を編集します。
説明
- RAMポリシースクリプトは、このトピックの「ApsaraDB RDSのRAMポリシー」セクションの [コード] 列にあります。
- RAMポリシーの構文と構造の詳細については、「ポリシー構造と構文」をご参照ください。
表示されるページの [基本情報] セクションで、[名前] フィールドにポリシー名を入力します。 [OK] をクリックします。 RAMポリシーの名前は、このトピックの「ApsaraDB RDSのRAMポリシー」セクションの [ポリシー] 列にあります。
説明
RAMポリシーの名前をカスタマイズすることもできます。 RAMポリシーの名前は、次の要件を満たす必要があります。
- 名前は 1 から 128 文字にしなければなりません。
- 名前には、英数字、およびハイフン (-) を使用できます。
表示されるページで、[権限付与] をクリックします。
1. [許可スコープ] パラメーターを設定します。
  - Alibaba Cloudアカウント: 権限付与は、現在のAlibaba Cloudアカウントのすべてのリソースに対して有効になります。
  - 特定のリソースグループ: 指定されたリソースグループ内のリソースに対して権限付与が有効になります。
    説明
    [特定のリソースグループ] オプションを選択する場合は、ApsaraDB RDSがリソースグループをサポートしていることを確認します。詳細については、「リソースグループで動作するサービス」をご参照ください。
2. Principalパラメーターを設定します。
  説明
  Principalパラメーターは、RAMポリシーをアタッチするRAMユーザーを指定します。ユーザー名の一部を入力して、あいまい一致を実行してRAMユーザーを検索できます。
3. [ポリシーの選択] パラメーターを [カスタムポリシー] に設定します。
4. 手順4で作成したRAMポリシーを選択します。 [OK] をクリックします。
  説明
  リストされたRAMポリシーの上の検索ボックスにRAMポリシーの名前の一部を入力すると、あいまい一致を実行してRAMポリシーを検索できます。

ApsaraDB RDSのRAMポリシー

項目	ポリシー	コード	説明
インスタンスの作成	CreateRdsWithNonDiskEncryptionForbidden	クリックして展開 `{ "Statement": [ { "Action": [ "rds:CreateDBInstance" 、 "rds:PreCheckCreateOrder" 、 "rds:CreateOrder" ], "Effect": "Deny", "Resource": "*", "Condition": { "Bool": { "rds:DiskEncryptionRequired": "false" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーが暗号化ディスクを使用しないRDSインスタンスを作成できないようにするために使用されます。説明このポリシーは、ユーザーがプライマリRDSインスタンスを作成した場合にのみ有効です。このポリシーは、ユーザーが読み取り専用RDSインスタンスを作成する場合、または新しいRDSインスタンスにデータを復元する場合には有効になりません。
インスタンスの作成	CreateRdsWithNonVPCNetworkTypeForbidden	クリックして展開 `{ "Statement": [ { "Action": [ "rds:CreateDBInstance" 、 "rds:PreCheckCreateOrder" 、 "rds:CreateOrder" ], "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "バージョン": "1" }`	このポリシーは、ネットワークタイプがVirtual Private Cloud (VPC) ではないRDSインスタンスをユーザーが作成できないようにするために使用されます。説明このポリシーは、ユーザーがプライマリRDSインスタンスを作成した場合にのみ有効です。このポリシーは、ユーザーが読み取り専用RDSインスタンスを作成する場合、または新しいRDSインスタンスにデータを復元する場合には有効になりません。
ネットワーク構成	DatabaseConnectionNonVPCNetworkTypeForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyDBInstanceNetworkType" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのネットワークタイプをクラシックネットワークに変更できないようにするために使用されます。
セキュリティ設定	DataSecuritySSLDisabledForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyDBInstanceSSL" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "rds:SSLEnabled": "0" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのSSL暗号化を無効にするのを防ぐために使用されます。
セキュリティ設定	DataSecurityTDEDisabledForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyDBInstanceTDE" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:TDEStatus": "Enabled" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスの透過的データ暗号化 (TDE) を無効にするのを防ぐために使用されます。
データベースプロキシの設定	DatabaseProxyWithNonVPCNetworkTypeForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyDBProxy" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:InstanceNetworkType": "VPC" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのデータベースプロキシ機能を有効にするときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。
	DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden	クリックして展開 `{ "Statement": [ { "Action": "rds:CreateDBProxyEndpointAddress" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:DBProxyConnectStringNetType": "VPC" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのデータベースプロキシに接続するエンドポイントを作成するときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。
	DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden	クリックして展開 `{ "Statement": [ { "Action": "rds:ModifyDBProxyEndpointAddress" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:DBProxyConnectStringNetType": "VPC" } } } ], "バージョン": "1" }`	このポリシーは、RDSインスタンスのデータベースプロキシへの接続に使用されるエンドポイントをユーザーが変更するときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。
	DatabaseProxyDbProxyInstanceSslDisabledForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyDbProxyInstanceSsl" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringEquals": { "rds:DbProxySslEnabled": "0" } } } ], "バージョン": "1" }`	このポリシーは、RDSインスタンスのデータベースプロキシの指定されたエンドポイントのSSL暗号化をユーザーが無効にしないようにするために使用されます。
バックアップ関連の設定	BackupAndRestorationCrossBackupDisabledForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyInstanceCrossBackupPolicy" 、 "Effect": "Deny", "Resource": "", "Condition": { "StringNotEquals": { "rds:BackupEnabled": "1" } } }, { "アクション": "rds:ModifyInstanceCrossBackupPolicy" 、 "Effect": "Deny", "Resource": "", "Condition": { "StringNotEquals": { "rds:LogBackupEnabled": "1" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのクロスリージョンバックアップ機能を無効にするのを防ぐために使用されます。
バックアップ関連の設定	BackupAndRestorationBackupPolicyDisabledForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyBackupPolicy" 、 "Effect": "Deny", "Resource": "", "Condition": { "StringEquals": { "rds:EnableBackupLog": "0" } } }, { "アクション": "rds:ModifyBackupPolicy" 、 "Effect": "Deny", "Resource": "", "Condition": { "StringEquals": { "rds:BackupLog": "Disabled" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのログバックアップ機能を無効にするのを防ぐために使用されます。
イベント履歴	EventCenterActionEventEnableEventLogForbidden	クリックして展開 `{ "Statement": [ { "アクション": "rds:ModifyActionEventPolicy" 、 "Effect": "Deny", "Resource": "*", "Condition": { "StringNotEquals": { "rds:EnableEventLog": "False" } } } ], "バージョン": "1" }`	このポリシーは、ユーザーがRDSインスタンスのイベント履歴機能を有効にしないようにするために使用されます。