すべてのプロダクト
Search

このプロダクト

    :Tair (Redis OSS-compatible) のカスタムポリシー

    ドキュメントセンター

    :Tair (Redis OSS-compatible) のカスタムポリシー

    最終更新日:Dec 03, 2024

    システムポリシーが要件を満たしていない場合は、カスタムポリシーを作成して、最小権限の原則を実装できます。 カスタムポリシーを使用して、きめ細かい権限管理を実装し、リソースアクセスのセキュリティを向上させることができます。 このトピックでは、Tair (Redis OSS-compatible) のカスタムポリシーを使用できる一般的なシナリオについて説明し、例を示します。

    カスタムポリシーとは何ですか?

    RAM (Resource Access Management) ポリシーは、システムポリシーとカスタムポリシーに分類されます。 ビジネス要件に基づいてカスタムポリシーを管理できます。

    • カスタムポリシーを作成した後、RAMユーザー、RAMユーザーグループ、またはRAMロールにポリシーをアタッチする必要があります。 これにより、ポリシーで指定された権限をプリンシパルに付与できます。

    • プリンシパルにアタッチされていないRAMポリシーを削除できます。 RAMポリシーがプリンシパルにアタッチされている場合、RAMポリシーを削除する前に、RAMポリシーをプリンシパルからデタッチする必要があります。

    • カスタムポリシーはバージョン管理をサポートします。 RAMが提供するバージョン管理メカニズムに基づいて、カスタムポリシーバージョンを管理できます。

    関連ドキュメント

    一般的なシナリオと例

    次のコードは、一般的なカスタムポリシーの例を示します。 次のコードのインスタンスIDを実際のインスタンスIDに置き換える必要があります。

    • 単一インスタンスの完全な管理権限

      次のポリシーは、指定されたインスタンスに対して完全な管理権限を付与します。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kvstore:*",
            "Resource": "acs:kvstore:*:*:*/<Instance ID>",
            "Condition": {}
        },
        {
            "Action": "kvstore:Describe*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    • 複数のインスタンスに対する完全な管理権限

      次のポリシーは、複数の指定されたインスタンスに対して完全な管理権限を付与します。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kvstore:*",
            "Resource": [
                "acs:kvstore:*:*:*/<Instance ID>",
                "acs:kvstore:*:*:*/<Instance ID>"
            ],
            "Condition": {}
        },
        {
            "Action": "kvstore:Describe*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    • 単一インスタンスのホワイトリストを変更する権限

      次のポリシーは、指定されたインスタンスのIPアドレスのホワイトリストを変更する権限を付与します。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "kvstore:ModifySecurityIps",
            "Resource": "acs:kvstore:*:*:*/<Instance ID>",
            "Condition": {}
        },
        {
            "Action": "kvstore:Describe*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    • オフラインキー分析の権限

      次のポリシーは、指定されたインスタンスに対してオフラインキー分析を実行する権限を付与します。 

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "hdm:CreateCacheAnalysisTask",
                "hdm:DescribeCacheAnalysisReportList",
                "hdm:DescribeCacheAnalysisReport",
                "hdm:CreateCacheAnalysisJob",
                "hdm:DescribeCacheAnalysisJob",
                "hdm:DescribeCacheAnalysisJobs",
                "hdm:GetInstanceLatestBackup"
            ],
            "Resource": "acs:kvstore:*:*:instance/<Instance ID>",
            "Condition": {}
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "hdm.aliyuncs.com"
                }
            }
        }
    ]
}

    関連ドキュメント

    カスタムポリシーを使用するには、ビジネスのアクセス制御要件とTair (Redis OSS-compatible) に関する権限情報を理解する必要があります。 詳細については、「RAM権限付与」をご参照ください。