このトピックでは、RAM (Resource Access Management) ポリシーをRAMユーザーにアタッチして、ApsaraDB RDSインスタンスのRAMユーザーの権限を管理する方法について説明します。
概要
Alibaba Cloudでは、RAMポリシーを使用してRDSインスタンスのセキュリティを向上させることができます。 RAMポリシーを使用して、RDSインスタンスのRAMユーザーに異なる権限を付与できます。 詳細については、「ApsaraDB RDSのRAMポリシー」をご参照ください。
RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
手順
RAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ポリシーページで、ポリシーの作成をクリックします。
表示されるページの [JSON] タブで、ポリシードキュメントを入力し、[OK] をクリックします。
説明RAMポリシースクリプトは、このトピックの「ApsaraDB RDSのRAMポリシー」セクションの [コード] 列にあります。
RAMポリシーの構文と構造の詳細については、「ポリシー構造と構文」をご参照ください。
[ポリシーの作成] ダイアログボックスで、[名前] と [説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。
説明RAMポリシーの名前をカスタマイズすることもできます。 RAMポリシーの名前は、次の要件を満たす必要があります。
名前は 1 から 128 文字にしなければなりません。
名前には、英数字、およびハイフン (-) を使用できます。
左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[権限の付与] をクリックして、必要なRAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限は、現在のAlibaba Cloudアカウント内のすべてのリソースに対して有効になります。
ResourceGroup: リソースグループ内のリソースに対して権限が有効になります。
説明[特定のリソースグループ] オプションを選択する場合は、ApsaraDB RDSがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。
Principalパラメーターを設定します。
説明Principalパラメーターは、RAMポリシーをアタッチするRAMユーザーを指定します。 ユーザー名の一部を入力して、あいまい一致を実行してRAMユーザーを検索できます。
ポリシーセクションで、カスタムポリシードロップダウンリストから
手順4で作成したRAMポリシーを選択します。 [OK] をクリックします。
説明リストされたRAMポリシーの上の検索ボックスにRAMポリシーの名前の一部を入力すると、あいまい一致を実行してRAMポリシーを検索できます。
ApsaraDB RDSのRAMポリシー
項目 | ポリシー | コード | 説明 |
インスタンスの作成 | CreateRdsWithNonDiskEncryptionForbidden | このポリシーは、ユーザーが暗号化ディスクを使用しないRDSインスタンスを作成できないようにするために使用されます。 説明 このポリシーは、ユーザーがプライマリRDSインスタンスを作成した場合にのみ有効です。 このポリシーは、ユーザーが読み取り専用RDSインスタンスを作成する場合、または新しいRDSインスタンスにデータを復元する場合には有効になりません。 | |
CreateRdsWithNonVPCNetworkTypeForbidden | このポリシーは、ネットワークタイプがVirtual Private Cloud (VPC) ではないRDSインスタンスをユーザーが作成できないようにするために使用されます。 説明 このポリシーは、ユーザーがプライマリRDSインスタンスを作成した場合にのみ有効です。 このポリシーは、ユーザーが読み取り専用RDSインスタンスを作成する場合、または新しいRDSインスタンスにデータを復元する場合には有効になりません。 | ||
ネットワーク構成 | DatabaseConnectionNonVPCNetworkTypeForbidden | このポリシーは、ユーザーがRDSインスタンスのネットワークタイプをクラシックネットワークに変更できないようにするために使用されます。 | |
セキュリティ設定 | DataSecuritySSLDisabledForbidden | このポリシーは、ユーザーがRDSインスタンスのSSL暗号化を無効にするのを防ぐために使用されます。 | |
DataSecurityTDEDisabledForbidden | このポリシーは、ユーザーがRDSインスタンスの透過的データ暗号化 (TDE) を無効にするのを防ぐために使用されます。 | ||
データベースプロキシの設定 | DatabaseProxyWithNonVPCNetworkTypeForbidden | このポリシーは、ユーザーがRDSインスタンスのデータベースプロキシ機能を有効にするときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。 | |
DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden | このポリシーは、ユーザーがRDSインスタンスのデータベースプロキシに接続するエンドポイントを作成するときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。 | ||
DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden | このポリシーは、RDSインスタンスのデータベースプロキシへの接続に使用されるエンドポイントをユーザーが変更するときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。 | ||
DatabaseProxyDbProxyInstanceSslDisabledForbidden | このポリシーは、RDSインスタンスのデータベースプロキシの指定されたエンドポイントのSSL暗号化をユーザーが無効にしないようにするために使用されます。 | ||
バックアップ関連の設定 | BackupAndRestorationCrossBackupDisabledForbidden | このポリシーは、ユーザーがRDSインスタンスのクロスリージョンバックアップ機能を無効にするのを防ぐために使用されます。 | |
BackupAndRestorationBackupPolicyDisabledForbidden | このポリシーは、ユーザーがRDSインスタンスのログバックアップ機能を無効にするのを防ぐために使用されます。 | ||
イベント履歴 | EventCenterActionEventEnableEventLogForbidden | このポリシーは、ユーザーがRDSインスタンスのイベント履歴機能を有効にしないようにするために使用されます。 |