システムポリシーとは何ですか?
ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、許可されたリソースセット、許可された操作セット、および許可条件を記述できます。 Alibaba Cloud Resource Access Management (RAM) は、システムポリシーとカスタムポリシーを提供します。 すべてのシステムポリシーはAlibaba Cloudによって作成および更新されます。 システムポリシーは使用できますが、変更することはできません。 ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーを作成、更新、削除できます。 サービスのイテレーション中に、Onsはシステムポリシーに新しい権限を追加して、新しい機能と機能をサポートします。 システムポリシーの更新は、RAMユーザー、RAMユーザーグループ、RAMロールなど、ポリシーがアタッチされているすべてのRAM IDに影響します。 RAMポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新規ユーザーが管理コンソールでAlibaba Cloud製品の使用を迅速に開始できるように設計されていますが、API操作やCLIコマンドなどのより高度な方法も使用できます。 高度な方法に精通している場合は、カスタムポリシーを使用して、誰がどのAPI操作を呼び出すことができるかをより細かく制御し、セキュリティを向上させることをお勧めします。
システムポリシーは、サービスシステムポリシー、サービス役割ポリシー、およびサービスにリンクされた役割ポリシーに分類できます。 一部のクラウドサービスは、3種類のポリシーのうち1つまたは2つのみを提供します。 詳細については、次のセクションで説明するポリシーの種類をご参照ください。
サービスシステムポリシー
AliyunMQFullAccess
AliyunMQFullAccessポリシー: 管理コンソールを介してApache RocketMQのMessageQueueへのフルアクセスを提供します。 RAM IDにアタッチできます。
AliyunMQPubOnlyAccess
AliyunMQPubOnlyAccessポリシー: 管理コンソールを介してRocketMQ4.0サービスへの公開のみのアクセスを提供します。 RAM IDにアタッチできます。
AliyunMQSubOnlyAccess
AliyunMQSubOnlyAccessポリシー: 管理コンソールを介してRocketMQ4.0サービスへのサブスクライブ専用アクセスを提供します。 RAM IDにアタッチできます。
関連ドキュメント
デフォルトでは、RAM IDには権限がありません。 RAM IDは、アカウント管理者がRAM IDに必要な権限を付与した後にのみ、Alibaba cloudアカウント内のクラウドリソースにアクセスできます。 リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM IDに必要な権限のみを付与することをお勧めします。 詳細については、以下のトピックをご参照ください。