Resource Access Management (RAM) のシステムポリシーが要件を満たせない場合は、カスタムポリシーを作成して、最小権限の原則を実装できます。 カスタムポリシーを使用すると、権限を細かく制御し、リソースアクセスのセキュリティを向上させることができます。 このトピックでは、Alibaba Cloud CDNにカスタムポリシーを使用できる一般的なシナリオについて説明し、例を示します。
カスタムポリシーとは何ですか?
RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。
参考資料
カスタムポリシーとサンプルカスタムポリシーのシナリオ
例1: パージ権限とプリフェッチ権限の付与
このポリシーは、RAMユーザーにパージおよびプリフェッチAPI操作に対する権限を付与します。 RAMユーザーはAPI操作を呼び出して、リソースをプリフェッチまたはリフレッシュできます。
{ "Version": "1", "Statement": [ { "Action": [ "cdn:PushObjectCache", "cdn:RefreshObjectCaches" 、 "cdn:DescribeRefreshTasks" 、 "cdn:DescribeRefreshQuota" ], "Resource": "acs:cdn:*:*:*", "Effect": "Allow" } ] }例2: RAMユーザーが計測方法を変更する権限を取り消す
{ "Statement": [ { "Action": "cdn:*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "cdn:OpenCdnService" 、 "cdn:ModifyCdnService" ], "Resource": "*", "効果": "拒否" }, { "アクション": "ram:CreateServiceLinkedRole" 、 "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "cdn-waf.cdn.aliyuncs.com" 、 「cdn-ddos.cdn.aliyuncs.com」 ] } } } ], "バージョン": "1" }
権限付与情報
カスタムポリシーを使用するには、ビジネスの権限管理要件とAlibaba Cloud CDNに関する権限情報を理解している必要があります。 詳細については、「 RAM での権限付与」をご参照ください。