カスタムアクセス制御ポリシーを使用して、リソースへのアクセスに関する権限の境界を定義できます。Tablestore はカスタムアクセス制御ポリシーをサポートしています。たとえば、カスタムアクセス制御ポリシーを使用して、ユーザーが Tablestore にアクセスする際に使用できる TLS バージョンを制限したり、パブリックアクセスをサポートしないインスタンスのみを作成できるようにユーザーを制限したりできます。ビジネス要件に基づいて、カスタムアクセス制御ポリシーを設定してください。
背景情報
リソースディレクトリコントロールポリシーは、フォルダやメンバーなどのリソース構造に基づいたアクセス制御ポリシーです。リソースディレクトリコントロールポリシーを使用すると、リソースディレクトリ内のフォルダまたはメンバーの権限範囲を一元的に管理できます。詳細については、「概要」をご参照ください。
アクセス制御ポリシーの構文
アクセス制御ポリシーは、Effect、Action、Resource、Condition の 4 つの基本要素で構成されます。詳細については、「アクセス制御ポリシーの言語」をご参照ください。
要素
|
要素 |
説明 |
|
Effect |
ステートメントの結果が明示的な許可か明示的な拒否かを指定します。有効な値は Allow および Deny です。 |
|
Action |
許可または拒否される 1 つ以上の API オペレーションを指定します。詳細については、「カスタムポリシーの構成」トピックの「Action」セクションをご参照ください。 |
|
Resource |
ポリシーが適用される 1 つ以上のオブジェクトを指定します。詳細については、「カスタムポリシーの構成」トピックの「Resource」セクションをご参照ください。 |
|
Condition |
ポリシーを有効にするために必要な条件を指定します。詳細については、本トピックの「例」セクションをご参照ください。 |
例
Tablestore はカスタムアクセス制御ポリシーをサポートしています。たとえば、カスタムアクセス制御ポリシーを使用して、ユーザーが Tablestore にアクセスするために使用できる TLS バージョンを制限したり、パブリックアクセスをサポートしないインスタンスのみを作成できるようにユーザーを制限したりできます。ビジネス要件に基づいて、カスタムアクセス制御ポリシーを設定してください。
TLS バージョンの制限による Tablestore アクセスの制御
カスタムアクセス制御ポリシーを使用して、指定された TLS バージョン経由でのみ Tablestore へのアクセスを制限できます。これにより、Tablestore のアクセスセキュリティが強化されます。
次のサンプルポリシーでは、Tablestore へのアクセスを TLS 1.2 および TLS 1.3 のみに制限します。クライアントが TLS 1.2 より前のバージョンまたは TLS 1.3 より後のバージョンを使用して Tablestore へのアクセスをリクエストした場合、リクエストは失敗します。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ots:*",
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ots:TLSVersion": [
"TLSv1.2",
"TLSv1.3"
]
}
}
}
]
}
パブリックアクセス非対応インスタンスへの作成制限
カスタムアクセス制御ポリシーを使用して、ユーザーがパブリックアクセスをサポートしないインスタンスのみを作成できるように制限できます。
{
"Version": "1",
"Statement": [
{
"Effect": "Deny",
"Action": [
"ots:InsertInstance",
"ots:CreateInstance",
"ots:UpdateInstance"
],
"Resource": "*",
"Condition": {
"Bool": {
"ots:AllowInstanceInternetAccess": [
"true"
]
}
}
}
]
}
典型的なシナリオ
リソースディレクトリにアクセスする前に、以下の前提条件を満たしていることを確認してください。
-
Resource Directory の利用招待状を受領済みであること。
-
リソースディレクトリを有効化するために使用する Alibaba Cloud アカウントが企業実名認証を通過していること。個人実名認証のみを通過したアカウントは、リソースディレクトリの有効化に使用できません。詳細については、「リソースディレクトリの有効化」をご参照ください。
-
企業の組織構造に基づいてフォルダが作成済みであること。詳細については、「フォルダの作成」をご参照ください。
-
メンバーが作成済み、または既存の Alibaba Cloud アカウントがリソースディレクトリに招待済みであり、対応するフォルダに移動済みであること。詳細については、「メンバーの作成」、「Alibaba Cloud アカウントのリソースディレクトリへの招待」、および「メンバーの移動」をご参照ください。
シナリオ 1: ユーザーが Tablestore にアクセスするために使用できる TLS バージョンを制限する
-
管理アカウントを使用してコントロールポリシー機能を有効化します。
-
Resource Management コンソールにログインします。
-
左側のナビゲーションウィンドウで、を選択します。
-
制御ポリシーの有効化をクリックします。
-
OKをクリックします。
-
更新をクリックしてステータスを確認します。
-
-
管理アカウントを使用して JSON タブでカスタムアクセス制御ポリシーを作成します。
-
左側のナビゲーションウィンドウで、を選択します。
-
ポリシータブで、ポリシーの作成をクリックします。
-
ポリシーの作成ページで、JSONタブをクリックします。
-
次のポリシー内容を入力し、ポリシー情報の編集へ進むをクリックします。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ots:*", ], "Resource": [ "*" ], "Condition": { "StringNotEquals": { "ots:TLSVersion": [ "TLSv1.2", "TLSv1.3" ] } } } ] } -
コントロールポリシーの名前と説明を入力します。
-
実際の状況に基づいて、アクセス制御ポリシーの内容を確認・最適化します。
-
-
リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダまたはメンバーにアタッチします。
構成が完了すると、指定されたメンバーは、Tablestore に TLS 1.2 および TLS 1.3 のみを介してアクセスできます。
-
左側のナビゲーションウィンドウで、を選択します。
-
[アタッチ] タブで、左側の組織構造ツリー内の対象のフォルダまたはメンバーをクリックします。
-
ページ右側で、ポリシーのアタッチをクリックします。
-
ポリシーのアタッチダイアログボックスで、アタッチするコントロールポリシーを選択します。
-
OKをクリックします。
-
シナリオ 2:パブリックアクセス非対応インスタンスへの作成制限
-
管理アカウントを使用してコントロールポリシー機能を有効化します。
-
Resource Management コンソールにログインします。
-
左側のナビゲーションウィンドウで、を選択します。
-
制御ポリシーの有効化をクリックします。
-
OKをクリックします。
-
更新をクリックしてステータスを確認します。
-
-
管理アカウントを使用して JSON タブでカスタムアクセス制御ポリシーを作成します。
-
左側のナビゲーションウィンドウで、を選択します。
-
ポリシータブで、ポリシーの作成をクリックします。
-
ポリシーの作成ページで、JSONタブをクリックします。
-
次のポリシー内容を入力し、ポリシー情報の編集へ進むをクリックします。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "ots:InsertInstance", "ots:CreateInstance", "ots:UpdateInstance" ], "Resource": "*", "Condition": { "Bool": { "ots:AllowInstanceInternetAccess": [ "true" ] } } } ] } -
コントロールポリシーの名前と説明を入力します。
-
実際の状況に基づいて、アクセス制御ポリシーの内容を確認・最適化します。
-
-
リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダまたはメンバーにアタッチします。
構成が完了すると、指定されたメンバーはパブリックアクセスをサポートしない Tablestore インスタンスのみを作成できます。
-
左側のナビゲーションウィンドウで、を選択します。
-
アタッチタブで、左側の組織構造ツリーから対象のフォルダまたはメンバーをクリックします。
-
ページ右側で、ポリシーのアタッチをクリックします。
-
ポリシーのアタッチダイアログボックスで、アタッチするコントロールポリシーを選択します。
-
OKをクリックします。
-