すべてのプロダクト
Search
ドキュメントセンター

Tablestore:カスタムアクセス制御ポリシーの利用

最終更新日:May 07, 2026

カスタムアクセス制御ポリシーを使用して、リソースへのアクセスに関する権限の境界を定義できます。Tablestore はカスタムアクセス制御ポリシーをサポートしています。たとえば、カスタムアクセス制御ポリシーを使用して、ユーザーが Tablestore にアクセスする際に使用できる TLS バージョンを制限したり、パブリックアクセスをサポートしないインスタンスのみを作成できるようにユーザーを制限したりできます。ビジネス要件に基づいて、カスタムアクセス制御ポリシーを設定してください。

背景情報

リソースディレクトリコントロールポリシーは、フォルダやメンバーなどのリソース構造に基づいたアクセス制御ポリシーです。リソースディレクトリコントロールポリシーを使用すると、リソースディレクトリ内のフォルダまたはメンバーの権限範囲を一元的に管理できます。詳細については、「概要」をご参照ください。

アクセス制御ポリシーの構文

アクセス制御ポリシーは、Effect、Action、Resource、Condition の 4 つの基本要素で構成されます。詳細については、「アクセス制御ポリシーの言語」をご参照ください。

要素

要素

説明

Effect

ステートメントの結果が明示的な許可か明示的な拒否かを指定します。有効な値は Allow および Deny です。

Action

許可または拒否される 1 つ以上の API オペレーションを指定します。詳細については、「カスタムポリシーの構成」トピックの「Action」セクションをご参照ください。

Resource

ポリシーが適用される 1 つ以上のオブジェクトを指定します。詳細については、「カスタムポリシーの構成」トピックの「Resource」セクションをご参照ください。

Condition

ポリシーを有効にするために必要な条件を指定します。詳細については、本トピックの「」セクションをご参照ください。

Tablestore はカスタムアクセス制御ポリシーをサポートしています。たとえば、カスタムアクセス制御ポリシーを使用して、ユーザーが Tablestore にアクセスするために使用できる TLS バージョンを制限したり、パブリックアクセスをサポートしないインスタンスのみを作成できるようにユーザーを制限したりできます。ビジネス要件に基づいて、カスタムアクセス制御ポリシーを設定してください。

TLS バージョンの制限による Tablestore アクセスの制御

カスタムアクセス制御ポリシーを使用して、指定された TLS バージョン経由でのみ Tablestore へのアクセスを制限できます。これにより、Tablestore のアクセスセキュリティが強化されます。

次のサンプルポリシーでは、Tablestore へのアクセスを TLS 1.2 および TLS 1.3 のみに制限します。クライアントが TLS 1.2 より前のバージョンまたは TLS 1.3 より後のバージョンを使用して Tablestore へのアクセスをリクエストした場合、リクエストは失敗します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

パブリックアクセス非対応インスタンスへの作成制限

カスタムアクセス制御ポリシーを使用して、ユーザーがパブリックアクセスをサポートしないインスタンスのみを作成できるように制限できます。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

典型的なシナリオ

リソースディレクトリにアクセスする前に、以下の前提条件を満たしていることを確認してください。

  • Resource Directory の利用招待状を受領済みであること。

  • リソースディレクトリを有効化するために使用する Alibaba Cloud アカウントが企業実名認証を通過していること。個人実名認証のみを通過したアカウントは、リソースディレクトリの有効化に使用できません。詳細については、「リソースディレクトリの有効化」をご参照ください。

  • 企業の組織構造に基づいてフォルダが作成済みであること。詳細については、「フォルダの作成」をご参照ください。

  • メンバーが作成済み、または既存の Alibaba Cloud アカウントがリソースディレクトリに招待済みであり、対応するフォルダに移動済みであること。詳細については、「メンバーの作成」、「Alibaba Cloud アカウントのリソースディレクトリへの招待」、および「メンバーの移動」をご参照ください。

シナリオ 1: ユーザーが Tablestore にアクセスするために使用できる TLS バージョンを制限する

  1. 管理アカウントを使用してコントロールポリシー機能を有効化します。

    1. Resource Management コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、リソースディレクトリ > 制御ポリシーを選択します。

    3. 制御ポリシーの有効化をクリックします。

    4. OKをクリックします。

    5. 更新をクリックしてステータスを確認します。

  2. 管理アカウントを使用して JSON タブでカスタムアクセス制御ポリシーを作成します。

    1. 左側のナビゲーションウィンドウで、リソースディレクトリ > 制御ポリシーを選択します。

    2. ポリシータブで、ポリシーの作成をクリックします。

    3. ポリシーの作成ページで、JSONタブをクリックします。

    4. 次のポリシー内容を入力し、ポリシー情報の編集へ進むをクリックします。

      {
          "Version": "1",
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "ots:*",
                  ],
                  "Resource": [
                      "*"
                  ],
                  "Condition": {
                      "StringNotEquals": {
                        "ots:TLSVersion": [
                          "TLSv1.2",
                          "TLSv1.3"
                        ]
                      }
                  }
              }
          ]
      }
    5. コントロールポリシーの名前説明を入力します。

    6. 実際の状況に基づいて、アクセス制御ポリシーの内容を確認・最適化します。

  3. リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダまたはメンバーにアタッチします。

    構成が完了すると、指定されたメンバーは、Tablestore に TLS 1.2 および TLS 1.3 のみを介してアクセスできます。

    1. 左側のナビゲーションウィンドウで、リソースディレクトリ > 制御ポリシーを選択します。

    2. [アタッチ] タブで、左側の組織構造ツリー内の対象のフォルダまたはメンバーをクリックします。

    3. ページ右側で、ポリシーのアタッチをクリックします。

    4. ポリシーのアタッチダイアログボックスで、アタッチするコントロールポリシーを選択します。

    5. OKをクリックします。

シナリオ 2:パブリックアクセス非対応インスタンスへの作成制限

  1. 管理アカウントを使用してコントロールポリシー機能を有効化します。

    1. Resource Management コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、リソースディレクトリ > 制御ポリシーを選択します。

    3. 制御ポリシーの有効化をクリックします。

    4. OKをクリックします。

    5. 更新をクリックしてステータスを確認します。

  2. 管理アカウントを使用して JSON タブでカスタムアクセス制御ポリシーを作成します。

    1. 左側のナビゲーションウィンドウで、リソースディレクトリ > 制御ポリシーを選択します。

    2. ポリシータブで、ポリシーの作成をクリックします。

    3. ポリシーの作成ページで、JSONタブをクリックします。

    4. 次のポリシー内容を入力し、ポリシー情報の編集へ進むをクリックします。

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Deny",
            "Action": [
              "ots:InsertInstance",
              "ots:CreateInstance",
              "ots:UpdateInstance"
            ],
            "Resource": "*",
            "Condition": {
              "Bool": {
                "ots:AllowInstanceInternetAccess": [
                  "true"
                ]
              }
            }
          }
        ]
      }
    5. コントロールポリシーの名前説明を入力します。

    6. 実際の状況に基づいて、アクセス制御ポリシーの内容を確認・最適化します。

  3. リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダまたはメンバーにアタッチします。

    構成が完了すると、指定されたメンバーはパブリックアクセスをサポートしない Tablestore インスタンスのみを作成できます。

    1. 左側のナビゲーションウィンドウで、リソースディレクトリ > 制御ポリシーを選択します。

    2. アタッチタブで、左側の組織構造ツリーから対象のフォルダまたはメンバーをクリックします。

    3. ページ右側で、ポリシーのアタッチをクリックします。

    4. ポリシーのアタッチダイアログボックスで、アタッチするコントロールポリシーを選択します。

    5. OKをクリックします。