すべてのプロダクト
Search
ドキュメントセンター

ApsaraDB RDS:RAMポリシーを使用したApsaraDB RDSインスタンスのRAMユーザーの権限の管理, RAMポリシーを使用してApsaraDB RDSインスタンスのRAMユーザーの権限を管理する, RAMポリシーを使用してApsaraDB RDSインスタンスのRAMユーザーの権限を管理する

最終更新日:Dec 13, 2024

このトピックでは、RAM (Resource Access Management) ポリシーをRAMユーザーにアタッチして、ApsaraDB RDSインスタンスのRAMユーザーの権限を管理する方法について説明します。

概要

Alibaba Cloudでは、RAMポリシーを使用してRDSインスタンスのセキュリティを向上させることができます。 RAMポリシーを使用して、RDSインスタンスのRAMユーザーに異なる権限を付与できます。 詳細については、「ApsaraDB RDSのRAMポリシー」をご参照ください。

説明

RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。

手順

  1. RAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

  3. ポリシーページで、ポリシーの作成をクリックします。

  4. 表示されるページの [JSON] タブで、ポリシードキュメントを入力し、[OK] をクリックします。

    説明
  5. [ポリシーの作成] ダイアログボックスで、[名前][説明] パラメーターを設定します。 次に、情報を確認し、[OK] をクリックします。

    説明

    RAMポリシーの名前をカスタマイズすることもできます。 RAMポリシーの名前は、次の要件を満たす必要があります。

    • 名前は 1 から 128 文字にしなければなりません。

    • 名前には、英数字、およびハイフン (-) を使用できます。

  6. 左側のナビゲーションウィンドウで、[権限] > [付与] を選択します。 表示されるページで、[権限の付与] をクリックして、必要なRAMユーザーに権限を付与します。

    1. [リソーススコープ] パラメーターを設定します。

      • アカウント: 権限は、現在のAlibaba Cloudアカウント内のすべてのリソースに対して有効になります。

      • ResourceGroup: リソースグループ内のリソースに対して権限が有効になります。

        説明

        [特定のリソースグループ] オプションを選択する場合は、ApsaraDB RDSがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。

    2. Principalパラメーターを設定します。

      説明

      Principalパラメーターは、RAMポリシーをアタッチするRAMユーザーを指定します。 ユーザー名の一部を入力して、あいまい一致を実行してRAMユーザーを検索できます。

    3. ポリシーセクションで、カスタムポリシードロップダウンリストから

    4. 手順4で作成したRAMポリシーを選択します。 [OK] をクリックします。

      説明

      リストされたRAMポリシーの上の検索ボックスにRAMポリシーの名前の一部を入力すると、あいまい一致を実行してRAMポリシーを検索できます。

ApsaraDB RDSのRAMポリシー

項目

ポリシー

コード

説明

インスタンスの作成

CreateRdsWithNonDiskEncryptionForbidden

クリックして展開

{ 
  "Statement": [ 
    {
      "Action": [
        "rds:CreateDBInstance", 
        "rds:PreCheckCreateOrder", 
        "rds:CreateOrder"
      ], 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": {
        "Bool": { 
          "rds:DiskEncryptionRequired": "false" 
        } 
      } 
    } 
  ], 
  "Version": "1" 
}

このポリシーは、ユーザーが暗号化ディスクを使用しないRDSインスタンスを作成できないようにするために使用されます。

説明

このポリシーは、ユーザーがプライマリRDSインスタンスを作成した場合にのみ有効です。 このポリシーは、ユーザーが読み取り専用RDSインスタンスを作成する場合、または新しいRDSインスタンスにデータを復元する場合には有効になりません。

CreateRdsWithNonVPCNetworkTypeForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": [
        "rds:CreateDBInstance",
        "rds:PreCheckCreateOrder",
        "rds:CreateOrder"
      ], 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": { 
        "StringNotEquals": { 
          "rds:InstanceNetworkType": "VPC" 
        } 
      }
    } 
  ], 
  "Version": "1" 
}

このポリシーは、ネットワークタイプがVirtual Private Cloud (VPC) ではないRDSインスタンスをユーザーが作成できないようにするために使用されます。

説明

このポリシーは、ユーザーがプライマリRDSインスタンスを作成した場合にのみ有効です。 このポリシーは、ユーザーが読み取り専用RDSインスタンスを作成する場合、または新しいRDSインスタンスにデータを復元する場合には有効になりません。

ネットワーク構成

DatabaseConnectionNonVPCNetworkTypeForbidden

クリックして展開

{
  "Statement": [
    {
      "Action": "rds:ModifyDBInstanceNetworkType", 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": {
        "StringNotEquals": {
          "rds:InstanceNetworkType": "VPC" 
        }
      }
    }
  ],
  "Version": "1" 
}

このポリシーは、ユーザーがRDSインスタンスのネットワークタイプをクラシックネットワークに変更できないようにするために使用されます。

セキュリティ設定

DataSecuritySSLDisabledForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDBInstanceSSL", 
      "Effect": "Deny", 
      "Resource": "*", 
      "Condition": {
        "StringEquals": { 
          "rds:SSLEnabled": "0" 
        }
      }
    }
  ],
  "Version": "1" 
}

このポリシーは、ユーザーがRDSインスタンスのSSL暗号化を無効にするのを防ぐために使用されます。

DataSecurityTDEDisabledForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDBInstanceTDE", 
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "rds:TDEStatus": "Enabled" 
        }
      }
    }
  ], 
  "Version": "1"
}

このポリシーは、ユーザーがRDSインスタンスの透過的データ暗号化 (TDE) を無効にするのを防ぐために使用されます。

データベースプロキシの設定

DatabaseProxyWithNonVPCNetworkTypeForbidden

クリックして展開

{ 
  "Statement": [
    { 
      "Action": "rds:ModifyDBProxy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:InstanceNetworkType": "VPC"
        }
      }
    }
  ],
  "Version": "1" 
}

このポリシーは、ユーザーがRDSインスタンスのデータベースプロキシ機能を有効にするときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。

DatabaseProxyCreateEndpointAddressWithNonVPCNetworkTypeForbidden

クリックして展開

{ 
  "Statement": [
    { 
      "Action": "rds:ModifyDBProxy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:InstanceNetworkType": "VPC"
        }
      }
    }
  ],
  "Version": "1" 
}

このポリシーは、ユーザーがRDSインスタンスのデータベースプロキシに接続するエンドポイントを作成するときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。

DatabaseProxyModifyEndpointAddressWithNonVPCNetworkTypeForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDBProxyEndpointAddress",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": {
        "StringNotEquals": {
          "rds:DBProxyConnectStringNetType": "VPC"
        }
      }
    }
  ],
  "Version": "1" 
}

このポリシーは、RDSインスタンスのデータベースプロキシへの接続に使用されるエンドポイントをユーザーが変更するときに、ユーザーがパブリックエンドポイントを指定しないようにするために使用されます。

DatabaseProxyDbProxyInstanceSslDisabledForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyDbProxyInstanceSsl",
      "Effect": "Deny",
      "Resource": "*", 
      "Condition": {
        "StringEquals": {
          "rds:DbProxySslEnabled": "0" 
        }
      }
    }
  ], 
  "Version": "1" 
}

このポリシーは、RDSインスタンスのデータベースプロキシの指定されたエンドポイントのSSL暗号化をユーザーが無効にしないようにするために使用されます。

バックアップ関連の設定

BackupAndRestorationCrossBackupDisabledForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyInstanceCrossBackupPolicy",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:BackupEnabled": "1" 
        }
      }
    },
    {
      "Action": "rds:ModifyInstanceCrossBackupPolicy",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:LogBackupEnabled": "1" 
        } 
      }
    }
  ],
  "Version": "1"
}

このポリシーは、ユーザーがRDSインスタンスのクロスリージョンバックアップ機能を無効にするのを防ぐために使用されます。

BackupAndRestorationBackupPolicyDisabledForbidden

クリックして展開

{ 
  "Statement": [
    {
      "Action": "rds:ModifyBackupPolicy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "rds:EnableBackupLog": "0"
        }
      }
    },
    {
      "Action": "rds:ModifyBackupPolicy",
      "Effect": "Deny", 
      "Resource": "*",
      "Condition": { 
        "StringEquals": {
          "rds:BackupLog": "Disabled"
        }
      }
    }
  ],
  "Version": "1"
}

このポリシーは、ユーザーがRDSインスタンスのログバックアップ機能を無効にするのを防ぐために使用されます。

イベント履歴

EventCenterActionEventEnableEventLogForbidden

クリックして展開

{ 
  "Statement": [
    { 
      "Action": "rds:ModifyActionEventPolicy",
      "Effect": "Deny",
      "Resource": "*",
      "Condition": { 
        "StringNotEquals": {
          "rds:EnableEventLog": "False"
        }
      }
    }
  ],
  "Version": "1" 
}

このポリシーは、ユーザーがRDSインスタンスのイベント履歴機能を有効にしないようにするために使用されます。