VPCのカスタムポリシーを設定する方法 - Virtual Private Cloud

システムポリシーが要件を満たしていない場合は、最小権限の原則を実装するようにカスタムポリシーを構成できます。カスタムポリシーを使用して、きめ細かい権限制御を実装し、リソースセキュリティを向上させることができます。このトピックでは、Virtual Private Cloud (VPC) のカスタムポリシーを設定する方法と例について説明します。

カスタムポリシーとは何ですか?

RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。カスタムポリシーを維持する必要があります。

カスタムポリシーを作成した後、ポリシーで指定された権限をプリンシパルに付与できるように、カスタムポリシーをRAMユーザー、ユーザーグループ、またはRAMロールにアタッチする必要があります。
プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。

参考資料

例

例1: RAMユーザーにすべてのVPCを管理する権限を付与します。

Alibaba Cloudアカウント1234567内のすべてのVPCを管理する権限をRAMユーザーに付与するには、次のサンプルスクリプトを使用します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*"
            ],
            "Resource": [
                "acs:vpc:*:1234567:*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:* 説明 *"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

例2: RAMユーザーにVPC内のvSwitchを管理する権限を付与します。

次のサンプルスクリプトを使用して、中国 (青島) リージョンのvSwitchを管理する権限をRAMユーザーに付与できます。具体的には、RAMユーザーはvSwitchの作成、vSwitchの削除、サブネットルートの関連付け、サブネットルートの関連付けの解除を行うことができます。 RAM ユーザーは、他のリージョンの vSwitch のみ表示できます。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:* 説明 *" 、
                "vpc:* vSwitch *" 、
                "vpc:* ルートテーブル *"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:* 説明 *"
            ],
            "Resource": [
                "acs:ecs:cn-qingdao:*:*/*"
            ]
        }
    ]
}

例3: 特定のリージョンのルートテーブルとルートを管理する権限をRAMユーザーに付与します。

中国 (杭州) リージョンのAlibaba Cloudアカウント11111111内のVPCを管理する権限をRAMユーザーに付与するには、次のサンプルスクリプトを使用します。 RAMユーザーが承認されると、RAMユーザーはルートの追加と削除、サブネットルートの作成、中国 (杭州) リージョンのvSwitchの関連付けを行うことができます。 RAM ユーザーは、他のリージョンのクラウドサービスのみ表示できます。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:* 説明 *"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "slb:* 説明 *"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "rds:* 説明 *"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:* 説明 *" 、
                "vpc:* RouteEntry *" 、
                "vpc:* ルートテーブル *"
            ],
            "Resource": [
                "acs:vpc:cn-hangzhou:11111111:*/*"
            ],
            "Condition": {
                
            }
        }
    ]
}

例4: 指定したルートテーブルにルートを追加または削除する権限をRAMユーザーに付与する

指定したルートテーブルのルートエントリを追加または削除する権限をRAMユーザーに付与するには、次のサンプルスクリプトを使用します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:* ルートエントリ *"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:* 説明 *"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:* 説明 *"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}