このドキュメントでは、RAM を使用して Alibaba Cloud リソースにアクセスする時間を制限し、より高いレベルのセキュリティを有効にする方法について説明します。

始める前に

  • Alibaba Cloud アカウントを作成している必要があります。 作成していない場合は、先に進む前に作成してください。 Alibaba Cloud アカウントを作成するには、「」「新しい Alibaba Cloud アカウントの作成」をクリックします。
  • RAM サービスが有効になり、RAM コンソールにログインできます。 RAM サービスが有効になっていない場合は、先に進む前にサービスを有効にします。 詳細は、「有効化する方法」をご参照ください。
  • カスタムポリシーを作成する前に、ポリシー要素、構造、および構文の基本的な知識を習得する必要があります。 詳細については、「ポリシー要素」および「ポリシー構造と構文」をご参照ください。

このタスクについて

企業 A は、ECS インスタンス、RDS インスタンス、SLB インスタンス、OSS バケットなど、複数のタイプの Alibaba Cloud リソースを購入しました。 ビジネスおよびデータのセキュリティを確保するために、この企業は RAM ユーザーが勤務時間中のみ Alibaba Cloud リソースにアクセスできるようにしたいと考えています。

対応策

RAM ユーザーが指定された時間帯のみ Alibaba Cloud リソースにアクセスできるようにするには、RAM ユーザーのカスタムポリシーを作成してアタッチします。

  1. RAM ユーザーの作成.
  2. カスタムポリシーの作成.
  3. RAM ユーザーへの権限付与.

カスタムポリシーの作成

  1. 左側のナビゲーションウィンドウで、[権限] から [ポリシー] をクリックします。
  2. [ポリシー] ページで [ポリシーの作成] をクリックします。
  3. 表示されるページで、 [ポリシー名] および [ 説明] パラメーターを指定します。
  4. [設定モード] から、[スクリプト] を選択します。 次のサンプルスクリプトをコピーして [ポリシードキュメント] エリアに貼り付け、ビジネスニーズに基づいてスクリプトを編集します。
    Alibaba Cloud リソースにアクセスする時間の制限

    次のポリシーが RAM ユーザーにアタッチされている場合、RAM ユーザーは 2019 年 8 月 12 日 (UTC+8) の 17:00 までの間のみ ECS インスタンスにアクセスできます。 この場合、Conditionacs:CurrentTime パラメータを 2019-08-12T17:00:00+08:00 に設定します。 

    {
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Allow",
      "Resource": "*",
      "Condition": {
          "DateLessThan": {
              "acs:CurrentTime": "2019-08-12T17:00:00+08:00"
          }
      }
    }
  ],
  "Version": "1"
}
    Condition 設定は、現在のポリシーに指定されているアクションにのみ適用されます。 値 2019-08-12T17:00:00+08:00 は、必要に応じて変更できます。
  5. [OK] をクリックします。