ApsaraDB for SelectDBのシステムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して最小権限の原則を実装できます。カスタムポリシーを使用して、きめ細かい権限管理を実装し、リソースのセキュリティを向上させることができます。このトピックでは、ApsaraDB for SelectDBのカスタムポリシーを設定する方法について説明し、カスタムポリシーの例を示します。
カスタムポリシーとは
Resource Access Management(RAM)ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーは、作成、更新、および削除できます。カスタムポリシーのバージョンは、自分で管理する必要があります。
カスタムポリシーを作成した後、そのポリシーをRAMユーザー、RAMユーザーグループ、またはRAMロールにアタッチする必要があります。これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていないRAMポリシーは削除できます。RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、プリンシパルからRAMポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参照
一般的なシナリオとカスタムポリシーの例
ApsaraDB for SelectDBは、リソース固有の権限制御ではなく、操作固有の権限制御のみをサポートしています。次のカスタムポリシーが一般的に使用されます。
RAMユーザーが属するAlibaba Cloudアカウント内のすべての ApsaraDB for SelectDB インスタンスを照会する権限と、これらの ApsaraDB for SelectDB インスタンスのホワイトリストを表示および変更する権限をRAMユーザーに付与します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "selectdb:DescribeDBInstances", "selectdb:DescribeSecurityIPList", "selectdb:ModifySecurityIPList" ], "Resource": [ "*" ], "Condition": {} } ] }RAMユーザーが属するAlibaba Cloudアカウント内のすべての ApsaraDB for SelectDB インスタンスを照会する権限と、これらの ApsaraDB for SelectDB インスタンスのパブリックエンドポイントを表示、申請、および解放する権限をRAMユーザーに付与します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "selectdb:DescribeDBInstances", "selectdb:AllocateInstancePublicConnection", "selectdb:ReleaseInstancePublicConnection", "selectdb:DescribeDBInstanceNetInfo" ], "Resource": [ "*" ], "Condition": {} } ] }
承認情報
カスタムポリシーを使用するには、ビジネスの権限制御要件と ApsaraDB for SelectDB の承認情報を理解する必要があります。詳細については、RAM認証をご参照ください。