すべてのプロダクト
Search

このプロダクト

    :ApsaraDB for Redisカスタムポリシー

    ドキュメントセンター

    :ApsaraDB for Redisカスタムポリシー

    最終更新日:Sep 12, 2024

    システムポリシーが要件を満たしていない場合は、最小権限の原則を実装するようにカスタムポリシーを構成できます。 カスタムポリシーを使用して、きめ細かい権限管理を実装し、リソースセキュリティを向上させることができます。 このトピックでは、Tair(Redis OSS-compatible)のカスタムポリシーを使用できる一般的なシナリオについて説明し、例を示します。

    カスタムポリシーとは何ですか?

    RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。

    • カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。

    • プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合は、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。

    • カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。

    関連ドキュメント

    一般的なシナリオと例

    次のコードは、一般的なカスタムポリシーの例を示します。 次のコードのApsaraDB for RedisインスタンスIDを実際のインスタンスIDに置き換える必要があります。

    • 単一インスタンスのすべての権限を管理する

      次のポリシーは、指定されたApsaraDB for Redisインスタンスを管理するすべての権限があることを示しています。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "アクション": "kvstore:*" 、
            "Resource": "acs:kvstore:*:*:*/<ApsaraDB for RedisインスタンスID>" 、
            "Condition": {}
        },
        {
            "Action": "kvstore:Describe *" 、
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    • 複数のインスタンスのすべての権限を管理する

      次のポリシーは、指定された複数のApsaraDB for Redisインスタンスを管理するすべての権限があることを示しています。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "アクション": "kvstore:*" 、
            "Resource": [
                "acs:kvstore:*:*:*/<ApsaraDB for RedisインスタンスID>" 、
                "acs:kvstore:*:*:*/<ApsaraDB for RedisインスタンスID>"
            ],
            "Condition": {}
        },
        {
            "Action": "kvstore:Describe *" 、
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    • 1つのインスタンスのホワイトリストの権限を変更する

      次のポリシーは、指定されたApsaraDB for RedisインスタンスのIPアドレスホワイトリストを変更する権限があることを示しています。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "アクション": "kvstore:ModifySecurityIps" 、
            "Resource": "acs:kvstore:*:*:*/<ApsaraDB for RedisインスタンスID>" 、
            "Condition": {}
        },
        {
            "Action": "kvstore:Describe *" 、
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    • オフラインキー分析の権限

      次のポリシーは、指定されたApsaraDB for Redisインスタンスに対してオフラインキー分析を実行する権限があることを示しています。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "hdm:CreateCacheAnalysisTask" 、
                "hdm:DescribeCacheAnalysisReportList" 、
                "hdm:DescribeCacheAnalysisReport" 、
                "hdm:CreateCacheAnalysisJob" 、
                "hdm:DescribeCacheAnalysisJob" 、
                "hdm:DescribeCacheAnalysisJobs" 、
                "hdm:GetInstanceLatestBackup"
            ],
            "Resource": "acs:kvstore:*:*:instance/<ApsaraDB for RedisインスタンスID>" 、
            "Condition": {}
        },
        {
            "アクション": "ram:CreateServiceLinkedRole" 、
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "hdm.aliyuncs.com"
                }
            }
        }
    ]
}

    権限付与情報

    カスタムポリシーを使用するには、ビジネスのアクセス制御要件とTair(Redis OSS-compatible)に関する権限情報を理解する必要があります。 詳細については、「RAM権限付与」をご参照ください。