このトピックでは、Alibaba Cloud の権限とポリシーについて説明します。Alibaba Cloud リソースに対する Resource Access Management (RAM) ID にさまざまな権限を付与するには、RAM ID にさまざまなポリシーをアタッチします。
権限
権限は、ポリシー内のステートメントによって指定され、RAM ID が特定の Alibaba Cloud リソースにアクセスすることを許可または拒否します。RAM ID とは、RAM ユーザー、RAM ユーザーグループ、および RAM ロールです。次のリストで詳細を説明します。
Alibaba Cloud アカウントはリソース所有者であり、すべての権限を制御します。
各 Alibaba Cloud リソースには所有者が 1 人だけいます。所有者は Alibaba Cloud アカウントである必要があり、リソースを完全に制御できます。
リソース所有者は必ずしもリソース作成者であるとは限りません。たとえば、RAM ID に Alibaba Cloud リソースを作成する権限がある場合、この RAM ID によって作成されたリソースは、RAM ID の Alibaba Cloud アカウントに属します。RAM ID はリソース作成者ですが、リソース所有者ではありません。
RAM ID はオペレーターであり、デフォルトでは権限がありません。
RAM ID は、リソースを管理するために使用されるオペレーターです。RAM ID が操作を実行する前に、Alibaba Cloud アカウントによって必要な権限が付与されている必要があります。必要な権限は、1 つ以上の明示的な許可ポリシーをアタッチすることによって付与する必要があります。
新しい RAM ID は、必要な権限が付与された後にのみ、コンソールを使用して API 操作を呼び出すことによってリソースを管理できます。
ポリシー
ポリシーは、ポリシーの構造と構文に基づいて記述される一連の権限を定義します。ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。ポリシーの要素、構造、および構文の詳細については、「ポリシー要素」および「ポリシーの構造と構文」をご参照ください。
RAM は、次の 2 種類のポリシーをサポートしています。
システムポリシー: システムポリシーは、Alibaba Cloud によって作成およびアップグレードされます。システムポリシーは使用できますが、変更することはできません。
カスタムポリシー: ビジネス要件に合わせて、カスタムポリシーを作成、変更、削除、およびアップグレードできます。
RAM ID に 1 つ以上のポリシーをアタッチできます。詳細については、「RAM ユーザーに権限を付与する」、「RAM ユーザーグループに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。
RAM ID に権限を付与する
RAM ID に権限を付与するには、RAM ID に 1 つ以上のポリシーをアタッチする必要があります。
アタッチされたポリシーは、システムポリシーまたはカスタムポリシーです。
アタッチされたポリシーが変更された場合、新しいポリシーは自動的に有効になります。新しいポリシーを RAM ID にアタッチする必要はありません。