システムポリシーが特定の要件を満たすことができない場合は、カスタムポリシーを作成して、最小権限の原則を実装できます。 カスタムポリシーを使用すると、権限を細かく制御し、リソースアクセスのセキュリティを向上させることができます。 このトピックでは、ApsaraVideo Liveカスタムポリシーのシナリオについて説明し、サンプルのカスタムポリシーを提供します。
カスタムポリシーとは何ですか?
RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。
カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。
プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。
カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。
関連ドキュメント
一般的なシナリオとサンプルのカスタムポリシー
説明
関数別の操作の一覧トピックのActionパラメーターに指定できるAPI操作の名前を取得できます。
次の例は、IPアドレス192.168.x.xのみの要求者が特定の操作を呼び出すことを許可するポリシーを示しています。
{
"Version": "1",
"Statement": [
{
"Action": "Live:Describe*",
"Resource": "*",
"Effect": "Allow",
"Condition":
{
"IpAddress":
{
"acs:SourceIp": "192.168.x.x"
}
}
}
]
}