すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for RocketMQ:ApsaraMQ for RocketMQのカスタムポリシー

    ドキュメントセンター

    ApsaraMQ for RocketMQ:ApsaraMQ for RocketMQのカスタムポリシー

    最終更新日:Jul 09, 2024

    システムポリシーが要件を満たしていない場合は、最小権限の原則を実装するようにカスタムポリシーを構成できます。 カスタムポリシーを使用して、権限に対するきめ細かい制御を実装し、リソースアクセスのセキュリティを強化できます。 このトピックでは、ApsaraMQ for RocketMQのカスタムポリシーが使用されるシナリオについて説明します。 このトピックでは、サンプルのカスタムポリシーも提供します。

    カスタムポリシーとは何ですか?

    RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。

    • カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。

    • プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。

    • カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。

    関連ドキュメント

    サンプルカスタムポリシー

    重要

    サンプルコードをコピーする場合は、次のフィールドを置き換えます。

    • {regionId}: ApsaraMQ for RocketMQインスタンスが存在するリージョンのIDに置き換えます。 詳細については、「エンドポイント」をご参照ください。

    • {accountId}: Alibaba CloudアカウントのIDに置き換えます。

    • {InstanceId}: ApsaraMQ for RocketMQインスタンスのIDに置き換えます。

    • {ConsumerGroupId}: コンシューマーグループのIDに置き換えます。

    • {TopicName}: トピックの名前に置き換えます。

    例1: RAMユーザーにインスタンスのすべての権限を付与する

    {
    "Version": "1",
    "Statement": [
       {
            "Effect": "Allow",
            "Action": [
                "rocketmq:ListInstances"
            ],
            "Resource": [
                "acs:rocketmq:{regionId}:{accountId}:instance/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:*"
            ],
            "Resource": [
                "acs:rocketmq:{regionId}:{accountId}:instance/{InstanceId}*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:ListAnalyticsQuery"
            ],
            "Resource": [
                "acs:rocketmq:*:{#accountId}:*/*"
            ]
        }
    ]
}

    例2: RAMユーザーにインスタンスを作成する権限を付与する

    {  
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:CreateInstance"
            ],
            "Resource": [
                "acs:rocketmq:{regionId }:{ accountId}:instance/*" 
            ]
        }
    ]
}

    例3: RAMユーザーに特定のトピックを削除する権限を付与する

    {  
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "rocketmq:DeleteTopic"
            ],
            "Resource": [
                "acs:rocketmq:{regionId }:{ accountId}:instance/{InstanceId}/topic/{TopicName}" 
            ]
        }
    ]
}

    例4: RAMユーザーにインスタンス診断のすべての権限を付与

    {
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "rocketmq:GetAnalyticsQuery",
                "rocketmq:SubmitAnalyticsQuery",
                 "rocketmq:ListAnalyticsQuery"
            ],
            "Resource":[
                 "acs:rocketmq:*:{#accountId}:*/*"
            ]
        }
    ]
}

    関連ドキュメント

    カスタムポリシーを使用するには、ビジネスの権限管理要件とApsaraMQ for RocketMQに関する権限情報を理解する必要があります。 詳細については、「RAM権限付与」をご参照ください。