システムポリシーについて
ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 Alibaba Cloud Resource Access Management (RAM) では、システムポリシーとカスタムポリシーが提供されます。 すべてのシステムポリシーは、Alibaba Cloud によって作成および更新されます。 システムポリシーを使用することはできますが、変更することはできません。 カスタムポリシーは、ビジネス要件に基づいて管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 サービスの反復時に、ThreatDetectionはシステムポリシーに新しい権限を追加して、新しい機能と機能をサポートします。 システムポリシーの更新は、RAM ユーザー、RAM ユーザーグループ、RAM ロールなど、ポリシーがアタッチされているすべての RAM ID に影響します。 RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、新規ユーザーが管理コンソールで Alibaba Cloud プロダクトの使用を迅速に開始できるように設計されていますが、API 操作や CLI コマンドなどの、より高度な方法も使用できるようになっています。 高度な方法に精通している場合は、カスタムポリシーを使用して、誰がどの API 操作を呼び出すことができるかをより細かく制御し、セキュリティを向上させることを推奨します。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。 クラウドサービスによっては、3 種類のポリシーのうち、1 つまたは 2 つのみ提供されるものがあります。 詳細については、以下のセクションで説明するポリシーの種類をご参照ください。
システムポリシー
AliyunYundunSASFullAccess
AliyunYundunSASFullAccessポリシーをRAM IDにアタッチできます。 このポリシーは、Security Centerを管理する権限を付与します。
詳細については、「AliyunYundunSASFullAccess」をご参照ください。
AliyunYundunSASReadOnlyAccess
AliyunYundunSASReadOnlyAccessポリシーをRAM IDにアタッチできます。 このポリシーは、Security Centerに対する読み取り専用権限を付与します。
詳細については、「AliyunYundunSASReadOnlyAccess」をご参照ください。
サービスにリンクされたロールポリシー
AliyunServiceRolePolicyForSas
Security Centerは、AliyunServiceRoleForSasサービスにリンクされたロールを引き受けて、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForSasポリシーは、AliyunServiceRoleForSasサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Security Centerによって定義および使用されます。 ポリシーを変更または削除することはできません。 このサービスにリンクされたロール以外のRAM IDにこのポリシーをアタッチしないでください。
詳細については、AliyunServiceRolePolicyForSasページにアクセスしてください。
AliyunServiceRolePolicyForSasCloudSiem
セキュリティセンターは、AliyunServiceRoleForSasCloudSiemサービスにリンクされたロールを引き受けて、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForSasCloudSiemポリシーは、AliyunServiceRoleForSasCloudSiemサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Security Centerによって定義および使用されます。 ポリシーを変更または削除することはできません。 このサービスにリンクされたロール以外のRAM IDにこのポリシーをアタッチしないでください。
詳細については、AliyunServiceRolePolicyForSasCloudSiemページに移動してください。
AliyunServiceRolePolicyForSasCspm
Security Centerは、AliyunServiceRoleForSasCspmサービスにリンクされたロールを引き受けて、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForSasCspmポリシーは、AliyunServiceRoleForSasCspmサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Security Centerによって定義および使用されます。 ポリシーを変更または削除することはできません。 このサービスにリンクされたロール以外のRAM IDにこのポリシーをアタッチしないでください。
詳細については、AliyunServiceRolePolicyForSasCspmページに移動してください。
AliyunServiceRolePolicyForSasRd
セキュリティセンターは、AliyunServiceRoleForSasRdサービスにリンクされたロールを引き受けて、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForSasRdポリシーは、AliyunServiceRoleForSasRdサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Security Centerによって定義および使用されます。 ポリシーを変更または削除することはできません。 このサービスにリンクされたロール以外のRAM IDにこのポリシーをアタッチしないでください。
詳細については、AliyunServiceRolePolicyForSasRdページにアクセスしてください。
AliyunServiceRolePolicyForAntiRansomwareMssp
Security Centerは、他のクラウドサービスのリソースにアクセスするために、サービスにリンクされたロールを引き受けます。 AliyunServiceRolePolicyForAntiRansomwareMsspポリシーは、AliyunServiceRoleForAntiRansomwareMsspサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Security Centerによって定義および使用されます。 ポリシーを変更または削除することはできません。 このサービスにリンクされたロール以外のRAM IDにこのポリシーをアタッチしないでください。
詳細については、AliyunServiceRolePolicyForAntiRansomwareMsspページに移動してください。
AliyunServiceRolePolicyForSasSecurityLake
Security Centerは、AliyunServiceRoleForSasSecurityLakeサービスにリンクされたロールを引き受けて、他のクラウドサービスのリソースにアクセスします。 AliyunServiceRolePolicyForSasSecurityLakeポリシーは、AliyunServiceRoleForSasSecurityLakeサービスにリンクされたロールの専用権限付与ポリシーです。 このポリシーは、Security Centerによって定義および使用されます。 ポリシーを変更または削除することはできません。 このサービスにリンクされたロール以外のRAM IDにこのポリシーをアタッチしないでください。
詳細については、AliyunServiceRolePolicyForSasSecurityLakeページに移動してください。
関連ドキュメント
デフォルトでは、RAM ID には権限が付与されていません。 RAM ID は、アカウント管理者が RAM ID に必要な権限を付与した後にのみ、Alibaba Cloud アカウント内のクラウドリソースにアクセスできます。 リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM ID に必要な権限のみを付与することを推奨します。 詳細については、以下のトピックをご参照ください。