すべてのプロダクト
Search

このプロダクト

    Resource Management:概要

    ドキュメントセンター

    Resource Management:概要

    最終更新日:Nov 04, 2024

    リソースディレクトリサービスが提供するコントロールポリシー機能を使用すると、リソースディレクトリ内のフォルダーまたはメンバーのアクセス許可境界を一元管理できます。 この機能は、リソースディレクトリに基づいて実装されます。 この機能を使用して、アクセス制御用の共通ルールや専用ルールを開発できます。 制御ポリシー機能では権限は付与されず、権限の境界のみ定義されます。 リソースディレクトリのメンバーのアカウントでリソースにアクセスする前に、Resource Access Management (RAM) サービスでアカウントに必要な権限を付与する必要があります。

    シナリオ

    企業は、リソースディレクトリを作成し、すべての部門のリソースディレクトリのメンバーを作成した後、作成されたメンバーの使用について管理する必要があります。 これを怠った場合、O&M ルールに違反し、セキュリティ上のリスクと余分なコストが発生する可能性があります。 リソースディレクトリは、制御ポリシー機能を提供します。 そして、この機能とリソースディレクトリの管理アカウントを使用して、アクセス制御ポリシーを一元的に作成できます。 企業はこれらのポリシーをリソースディレクトリ内のフォルダーとメンバーにアタッチできます。 これらのポリシーは、メンバーのリソースへのアクセスを制御します。 この方法により、セキュリティコンプライアンスを確保し、コストを制御できます。 たとえば、企業はメンバーを使用してドメイン名を申請したり、ログの記録を削除したりすることはできません。

    アクセス制御ポリシーの種類

    • システムのアクセス制御ポリシー

      リソースディレクトリから提供されるシステムアクセス制御ポリシーは、FullAliyunAccess の 1 種類のみです。 このシステムアクセス制御ポリシーは表示できますが、作成、変更、または削除することはできません。 制御ポリシー機能を有効化すると、リソースディレクトリ内のすべてのフォルダーとメンバーに対し、デフォルトでシステムアクセス制御ポリシーがアタッチされます。 このポリシーでは、すべてのクラウドリソースに対し、すべての操作が許可されます。

    • カスタムアクセス制御ポリシー

      カスタムアクセス制御ポリシーは、ユーザーがカスタマイズできます。 カスタムアクセス制御ポリシーを作成、変更、または削除できます。 作成したカスタムアクセス制御ポリシーを有効化するには、ポリシーをフォルダーまたはメンバーにアタッチする必要があります。 カスタムアクセス制御ポリシーが不要になった場合は、フォルダーまたはメンバーからデタッチできます。

    制御ポリシー機能の動作

    制御ポリシー機能は、以下のように機能します。

    1. リソースディレクトリの管理アカウントを使用して、制御ポリシー機能を有効化します。 詳細については、「コントロールポリシー機能の有効化」をご参照ください。

      この機能を有効化すると、デフォルトで、FullAliyunAccess のシステムアクセス制御ポリシーが、システムによりリソースディレクトリ内のすべてのフォルダーとメンバーにアタッチされます。 このポリシーでは、すべてのクラウドリソースに対し、すべての操作が許可されます。 不適切な制御ポリシー設定によるリソースアクセスの失敗を防ぐことができます。

    2. リソースディレクトリの管理アカウントを使用して、カスタムアクセス制御ポリシーを作成します。 詳細については、「カスタムアクセス制御ポリシーの作成」をご参照ください。

    3. リソースディレクトリの管理アカウントを使用して、新しく作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダーまたはメンバーにアタッチします。 詳細については、「カスタムアクセス制御ポリシーのアタッチ」をご参照ください。

      アクセス制御ポリシーは、リソースディレクトリ内のすべてのフォルダーまたはメンバーにアタッチできます。 フォルダーにカスタムアクセス制御ポリシーをアタッチする場合、このポリシーはフォルダー内のすべてのサブフォルダーにも適用されます。 たとえば、あるフォルダーにポリシー A をアタッチし、そのサブフォルダーの 1 つにポリシー B をアタッチしたとします。 この場合、両方のポリシーがサブフォルダーとサブフォルダー内のすべてのメンバーに適用されます。

      説明

      最初にカスタムアクセス制御ポリシーを少数のフォルダーまたはメンバーのみにアタッチして、ポリシーが想定通りに有効化されるか確認することを推奨します。 カスタムアクセス制御ポリシーが想定通りに有効化されたことを確認した後、リソースディレクトリ内の他のすべてのフォルダーまたはメンバーにアタッチします。

    4. メンバーのRAMユーザーまたはRAMロールを使用してAlibaba Cloudサービスにアクセスすると、システムはアクセス要求をカスタムアクセス制御ポリシーと照合し、RAMユーザーまたはRAMロールの権限を検証します。 以下に詳細を説明します。

      • システムは、リソースディレクトリに基づいて、逆順にレベルごとにカスタムアクセス制御ポリシーとアクセス要求を照合します。 この照合は、RAM ユーザーまたは RAM ロールがアクセスするリソースを管理するメンバーから開始されます。

      • アクセス制御ポリシーで Deny 文が照合されると、システムはアクセス制御ポリシーの照合を終了し、RAM ユーザーまたは RAM ロールの権限を検証することなく、アクセス要求を拒否します。

      • アクセス制御ポリシーで Deny 文も Allow 文も照合されない場合、システムはアクセス制御ポリシーの照合を終了し、RAM ユーザーまたは RAM ロールの権限を検証することなく、アクセス要求を拒否します。

      • アクセス制御ポリシーの Deny 文が照合されず、アクセス制御ポリシーの Allow 文が照合された場合、システムは、より上位レベルのオブジェクトにアタッチされているアクセス制御ポリシーとアクセス要求を照合します。 照合は、Root フォルダーが照合されると終了します。 Root フォルダーの照合に成功すると、リソースディレクトリ全体の照合が成功となります。 次に、システムは RAM ユーザーまたは RAM ロールの権限を検証します。 詳細については、「ポリシー評価プロセス」をご参照ください。

      • アクセス制御ポリシーは、サービスにリンクされたロールには適用されません。 サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。

      • メンバーを使用すると、メンバーにアタッチされているアクセス制御ポリシーと、すべての親フォルダーにアタッチされているアクセス制御ポリシーの両方が評価されます。 フォルダーにアタッチされているアクセス制御ポリシーが、フォルダー内のすべてのメンバーと、フォルダーのサブフォルダー内のすべてのメンバーに適用されます。

      重要

      リソースディレクトリ内で構成されているアクセス制御ポリシーは、リソースディレクトリ内の関連メンバー内のすべてのRAMユーザーとRAMロールに対しても有効になります。 ただし、ポリシーはメンバーのルートユーザーに対しては有効になりません。 また、リソースディレクトリの管理アカウントはリソースディレクトリ外にあります。 リソースディレクトリに属していません。 したがって、アクセス制御ポリシーも管理アカウント内のすべてのIDに有効になるわけではありません。

    既存のカスタムアクセス制御ポリシーを設定して、特定の Alibaba Cloud サービスからのアクセスを許可する

    カスタムアクセス制御ポリシーは、アクセス制御ポリシーがアタッチされているメンバーのリソースへのアクセス権限を制限します。 アクセス制御ポリシーで指定された権限は禁止されます。 その結果、一部の Alibaba Cloud サービスがリソースにアクセスできない場合があります。

    Alibaba Cloud サービスは、サービスのロールを使用してアカウントのリソースにアクセスし、一部の機能を実装する場合があります。 サービスのロールの権限がアクセス制御ポリシーによって禁止されている場合、サービスの一部の機能が使用できません。 アクセス制御ポリシーのこの動作が想定通りの場合、操作は不要です。 そうでない場合は、以下の手順を実行します。

    1. アクセスを制御しないサービスが使用するサービスのロールの名前を決定します。

      RAM コンソールにログインして、アカウントのすべてのサービスロールを表示できます。

    2. サービスからのアクセスを制御するポリシーのドキュメントのConditionパラメーターに "acs:PrincipalARN" キーを追加します。 次に、決定したロール名をキーに指定します。 以下にコードの例を示します。

      {
    "Statement": [
        {
            "Action": [
                "ram:UpdateUser"
            ],
            "Resource": "*",
            "Effect": "Deny",         
            "Condition": {
                "StringNotLike": {
                    "acs:PrincipalARN":"acs:ram:*:*:role/<Name of the service role>"
               }
           }
        }
    ],
    "Version": "1"
}

      アクセス制御ポリシーの構文の詳細については、「アクセス制御ポリシーの言語」をご参照ください。

    制限事項

    詳細については、「リソースディレクトリの制限」をご参照ください。

    制御ポリシー機能をサポートしていない Alibaba Cloud サービス

    • 特定のエンジンバージョンの Microservices Engine (MSE) では、制御ポリシー機能がサポートされています。

      MSEエンジンのバージョンの詳細については、「エディション機能」をご参照ください。

    • ApsaraMQ for RocketMQの次のアプリケーションとクラスターは、コントロールポリシー機能をサポートしていません。

      • mq-httpアプリケーションは、コントロールポリシー機能をサポートしていません。

      • onsbroker アプリケーションでは、以下のリージョンで制御ポリシー機能がサポートされていません。

        • UAE (ドバイ) 。

        • 中国 (上海):このリージョンの sh-share9 および shvip-st21ujm8f01 クラスターでは、制御ポリシー機能がサポートされていません。

        • 中国北部 2 Ali Gov 1:このリージョンの beijing.gov.vip.v0h0ovmfp02、beijing.gov.vip.nif1zmrlf02、vip-cn-north-2-gov-1-45914plw301 クラスターでは、制御ポリシー機能がサポートされていません。