このトピックでは、Alibaba Cloudの権限とポリシーについて説明します。 Alibaba CloudリソースのRAM (Resource Access Management) IDに異なる権限を付与するには、RAM IDに異なるポリシーをアタッチします。
権限
権限は、特定のAlibaba CloudリソースへのRAM IDのアクセスを許可または拒否するポリシー内のステートメントによって指定されます。 RAM IDは、RAMユーザー、RAMユーザーグループ、およびRAMロールです。 以下のリストで詳細を説明します。
Alibaba Cloudアカウントはリソース所有者であり、すべての権限を制御します。
各Alibaba Cloudリソースの所有者は1人だけです。 所有者はAlibaba Cloudアカウントであり、リソースを完全に管理できる必要があります。
リソースの所有者がリソースの作成者ではない場合もあります。 たとえば、RAM IDにAlibaba Cloudリソースを作成する権限がある場合、このRAM IDによって作成されたリソースはRAM IDのAlibaba Cloudアカウントに属します。 RAM IDはリソース作成者ですが、リソース所有者ではありません。
RAM IDは演算子であり、デフォルトでは権限はありません。
RAM IDは、リソースの管理に使用される演算子です。 RAM IDが操作を実行する前に、Alibaba Cloudアカウントから必要な権限がRAM IDに付与されている必要があります。 1つ以上の明示的な許可ポリシーをアタッチして、必要な権限を付与する必要があります。
新しいRAM IDは、RAM IDに必要な権限が付与された後にのみ、コンソールを使用してAPI操作を呼び出すことによってリソースを管理できます。
ポリシー
ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 ポリシー要素、構造、および構文の詳細については、「ポリシー要素」および「ポリシー構造と構文」をご参照ください。
RAMは、次の2種類のポリシーをサポートします。
システムポリシー: システムポリシーはAlibaba Cloudによって作成およびアップグレードされます。 システムポリシーは使用できますが、変更することはできません。
カスタムポリシー: ビジネス要件を満たすように、カスタムポリシーを作成、変更、削除、およびアップグレードできます。
1つ以上のポリシーをRAM IDにアタッチできます。 詳細については、「RAMユーザーへの権限の付与」、「RAMユーザーグループへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。
RAM IDへの権限付与
RAM IDに権限を付与するには、RAM IDに1つ以上のポリシーをアタッチする必要があります。
アタッチされるポリシーは、システムポリシーまたはカスタムポリシーです。
アタッチされたポリシーが変更されると、新しいポリシーが自動的に有効になります。 新しいポリシーをRAM IDにアタッチする必要はありません。