Tablestore は、RAM ポリシー、コントロールポリシー、ネットワーク ACL、およびインスタンスポリシーをサポートし、Tablestore リソースへのアクセスを制御します。
アクセス制御方法
Tablestore は、次のアクセス制御方法をサポートしています:Resource Access Management (RAM) ポリシー、コントロールポリシー、ネットワーク ACL、およびインスタンスポリシー。これらの方法を必要に応じて組み合わせて使用できます。
-
RAM ポリシーは、RAM におけるユーザーベースの権限付与ポリシーです。従業員、システム、またはアプリケーションなどのユーザーを一元管理し、リソースへのアクセスを制御できます。
-
コントロールポリシーは、Resource Management におけるリソースディレクトリベースのアクセス制御ポリシーです。フォルダやメンバーなど、リソースディレクトリのすべてのレベルでアクセス許可の境界を管理できます。
-
Tablestore のネットワーク ACL は、リソースベースのネットワークアクセス制御機能です。単一のインスタンスに対してネットワークアクセスルールを設定できます。
-
Tablestore のインスタンスポリシーは、リソースベースの権限付与ポリシーです。単一のインスタンスに対してアクセス許可を設定できます。
権限付与の詳細
次の表は、各アクセス制御方法のシナリオと機能を比較したものです。
|
アクセス制御方法 |
シナリオ |
提供サービス |
適用対象 |
権限付与の詳細 |
|
単一の Alibaba Cloud アカウント配下における、複数の RAM ユーザーおよび Security Token Service (STS) アクセスの権限管理。 |
Resource Access Management |
Tablestore を初めて使用する場合は、RAM ポリシーを使用して RAM ユーザーに権限を付与するか、一時的なアクセス認証情報を使用して Tablestore にアクセスします。詳細については、「RAM ポリシーを使用した RAM ユーザーへの権限付与」をご参照ください。 |
|
|
|
エンタープライズ組織内の部門間における、異なる Alibaba Cloud アカウントの統一されたセキュリティポリシー制御。コントロールポリシーはアクセスを拒否することのみが可能で、許可することはできません。 |
Resource Management |
エンタープライズアカウントを使用する場合は、リソースディレクトリからコントロールポリシーを使用して、エンタープライズメンバーの権限を一元管理します。詳細については、「コントロールポリシーを使用した権限付与」をご参照ください。 |
|
|
|
単一の Alibaba Cloud アカウント配下における、Tablestore サービス内の単一インスタンスに対する統一されたネットワークアクセス制御。 |
Tablestore |
Tablestore リソースを使用する場合は、ネットワーク ACL を使用して、インスタンスのネットワークアクセスタイプまたはアクセス元を制御します。詳細については、「インスタンスのネットワーク ACL の設定」をご参照ください。 |
|
|
|
単一の Alibaba Cloud アカウント配下における、Tablestore サービス内の単一インスタンスに対するきめ細かな API 権限管理。 |
Tablestore |
Tablestore リソースを使用する場合は、インスタンスポリシーを使用して、インスタンスのアクセス元を制御します。詳細については、「インスタンスポリシーの設定」をご参照ください。 |
クライアント IP アドレス、クライアントが属する Virtual Private Cloud (VPC)、クライアントが使用する TLS バージョンなどの条件に基づいて、Tablestore インスタンスへのアクセスを制限します。 |
権限の有効化の仕組み
複数のアクセス制御方法が RAM ユーザーに同時に適用される場合、ユーザーが操作の権限を持つかどうかは、次の条件によって決まります。詳細については、「詳細な認証フロー」をご参照ください。
-
コントロールポリシーに、その操作の権限を拒否するルールが含まれていないこと。
-
インスタンスポリシーまたは RAM ポリシーのいずれかに、その操作の権限を付与するルールが少なくとも 1 つ含まれていること。
インスタンスポリシーまたは RAM ポリシーに、同じ操作に対する矛盾する権限が含まれている場合、拒否ルールが優先されます。つまり、ユーザーはその操作の権限を持ちません。