システムポリシーがビジネス要件を満たしていない場合は、カスタムポリシーを作成できます。最小権限の原則(PoLP)に従ってカスタムポリシーを作成できます。カスタムポリシーは、権限をきめ細かく管理し、リソースアクセスセキュリティを向上させるのに役立ちます。このトピックでは、Intelligent Media Management(IMM)のカスタムポリシーについて説明し、カスタムポリシーの例を示します。
カスタムポリシーとは
Resource Access Management(RAM)ポリシーは、システムポリシーとカスタムポリシーに分類されます。ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、そのポリシーをRAMユーザー、RAMユーザーグループ、またはRAMロールにアタッチする必要があります。これにより、ポリシーで指定された権限がプリンシパルに付与されます。
プリンシパルにアタッチされていないRAMポリシーは削除できます。RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、プリンシパルからRAMポリシーをデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートしています。RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーのバージョンを管理できます。
参考資料
カスタムポリシーのシナリオと例
例1:特定のプロジェクトに対する特定の操作を許可する
次のサンプルポリシーは、サポートされているすべてのリージョンで、名前がimm-test-docで始まるプロジェクトのデータセットを照会する権限をユーザーに付与します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:List*", "imm:Get*"],
"Resource": "acs:imm:*:150910xxxxxxxxxx:project/imm-test-doc*"
}
],
"Version": "1"
} 例2:特定のリージョンのプロジェクトに対する特定の操作を許可する
次のサンプルポリシーは、ユーザーに次の操作を実行する権限を付与します。
中国(上海)リージョンのimm-test-media-projプロジェクトのデータに対して、CreateFigureClusteringTask操作とCreateFigureClustersMergingTask操作を呼び出します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj"
}
],
"Version": "1"
}
例3:指定されたリージョンの特定のプロジェクト内の特定のデータセットに対する特定の操作を許可する
次のサンプルポリシーは、ユーザーに次の操作を実行する権限を付与します。
中国(上海)リージョンのimm-test-media-projプロジェクトのdataset1データセットに対して、CreateFigureClusteringTask操作とCreateFigureClustersMergingTask操作を呼び出します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj/dataset/dataset1"
}
],
"Version": "1"
}