Alibaba Cloud の Resource Access Management (RAM) は、システム権限ポリシーとカスタム権限ポリシーの 2 種類のポリシーを提供します。システム権限ポリシーは Alibaba Cloud によって作成および保守されます。RAM ID にアタッチできますが、変更することはできません。カスタム権限ポリシーはお客様が完全に管理し、作成、更新、削除の操作をサポートします。
Security Center の進化に伴い、新機能をサポートするために新しい権限がそのシステム権限ポリシーに追加されます。システム権限ポリシーへの更新は、そのポリシーがアタッチされているすべての RAM ユーザー、RAM ユーザーグループ、および RAM ロールに適用されます。
システム権限ポリシーを使用すると、管理コンソールから迅速に利用を開始できるだけでなく、API オペレーションや CLI コマンドなどの高度なアクセス方法もサポートされます。特定の RAM ID が呼び出すことができる API オペレーションをよりきめ細かく制御するには、代わりにカスタム権限ポリシーを使用してください。
RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システム権限ポリシー
Security Center は、以下のシステム権限ポリシーを提供します:
| ポリシー | 説明 |
|---|---|
AliyunYundunSASFullAccess | セキュリティセンターに対する完全な管理権限を付与します。 完全な権限リストについては、AliyunYundunSASFullAccess をご参照ください。 |
AliyunYundunSASReadOnlyAccess | セキュリティセンターに対する読み取り専用権限を付与します。 完全な権限リストについては、AliyunYundunSASReadOnlyAccess をご参照ください。 |
サービスリンクロールのポリシー
Security Center は、サービスリンクロールを使用して、お客様に代わって他の Alibaba Cloud サービスのリソースにアクセスします。各サービスリンクロールには、Security Center によって定義および管理される専用の権限付与ポリシーがあります。
これらのポリシーを、関連付けられたサービスリンクロール以外の RAM ID にアタッチしないでください。また、変更したり削除したりしないでください。
| ポリシー | 関連付けられたサービスリンクロール |
|---|---|
AliyunServiceRolePolicyForSas | AliyunServiceRoleForSas |
AliyunServiceRolePolicyForSasCloudSiem | AliyunServiceRoleForSasCloudSiem |
AliyunServiceRolePolicyForSasCspm | AliyunServiceRoleForSasCspm |
AliyunServiceRolePolicyForSasRd | AliyunServiceRoleForSasRd |
AliyunServiceRolePolicyForAntiRansomwareMssp | AliyunServiceRoleForAntiRansomwareMssp |
AliyunServiceRolePolicyForSasSecurityLake | AliyunServiceRoleForSasSecurityLake |
次のステップ
デフォルトでは、RAM ID には権限がありません。リソースのセキュリティを確保するため、最小権限の原則に基づいて、必要な権限のみを RAM ID に付与することを推奨します。権限を付与するには、以下をご参照ください: