Tablestore では、Resource Access Management (RAM) ポリシー、制御ポリシー、ネットワークアクセス制御リスト (ACL)、およびインスタンスポリシーを使用して、Tablestore リソースへのアクセスを制御できます。
アクセスコントロール方式
Tablestore では、RAM ポリシー、制御ポリシー、ネットワーク ACL、インスタンスポリシーといったアクセスコントロール方式がサポートされています。必要に応じて、複数のアクセスコントロール方式を組み合わせて使用できます。
RAM が提供する RAM ポリシー機能を使用すると、従業員、システム、アプリケーションなどのユーザーを一元的に管理し、クラウド リソースへのアクセスを制御できます。
リソース管理のリソースディレクトリサービスが提供する制御ポリシー機能を使用すると、リソースディレクトリ内のフォルダまたはメンバーの権限境界を一元的に管理できます。
Tablestore が提供するネットワーク ACL 機能を使用すると、ユーザーが Tablestore インスタンスにアクセスできるネットワークの種類を制限できます。
Tablestore が提供するインスタンスポリシー機能を使用すると、Tablestore インスタンスのアクセス元を制限できます。
使用上の注意
次の表は、さまざまなアクセスコントロール方式の機能と適用可能なシナリオを示しています。
アクセスコントロール方式 | 適用可能なシナリオ | サービス | 対象ユーザー | 使用上の注意 |
Alibaba Cloud アカウントの RAM ユーザーの権限と一時的なアクセス権限を管理します。 | RAM | RAM ユーザーに権限を付与し、RAM ユーザーとして Tablestore を使用する場合、または一時的なアクセストークンを使用して Tablestore にアクセスする場合。詳細については、RAM ポリシーを使用して RAM ユーザーに権限を付与する を参照してください。 |
| |
企業内のさまざまな部門の Alibaba Cloud アカウントのセキュリティポリシーを一元的に管理します。制御ポリシー機能は権限を付与するのではなく、アクセスを拒否するだけです。 | リソース管理 | 企業に複数の Alibaba Cloud アカウントがあり、これらのアカウントの権限を一元的に管理する場合。詳細については、カスタムアクセスコントロールポリシーを使用して企業ユーザーの権限境界を定義する を参照してください。 |
| |
Alibaba Cloud アカウントの Tablestore インスタンスへのネットワークアクセスを制御します。 | Tablestore | ユーザーが Tablestore インスタンスのリソースにアクセスできるネットワークの種類またはソースを制限する場合。詳細については、ネットワーク ACL を参照してください。 |
| |
Alibaba Cloud アカウントの Tablestore インスタンスの API 操作にきめ細かい権限を付与します。 | Tablestore | Tablestore インスタンスのリソースのアクセス元を制限する場合。詳細については、インスタンスポリシーを使用してインスタンスのアクセス元を制限する を参照してください。 | ユーザーがインスタンスにアクセスするために使用できる IP アドレス、ネットワーク、TLS バージョンなど、Tablestore インスタンスのアクセス元を制限します。 |
権限検証ルール
RAM ポリシー、制御ポリシー、ネットワーク ACL、およびインスタンスポリシーを設定して、RAM ユーザーの Tablestore インスタンスへのアクセスを制御する場合、RAM ユーザーは次のルールに基づいてインスタンスに対する特定の操作を実行する権限を持っていると見なされます。
制御ポリシーで操作が許可されている。
インスタンスポリシーまたは RAM ポリシーで操作が許可されている。
インスタンスポリシーまたは RAM ポリシーで操作が許可および拒否されている場合、操作は拒否されます。この場合、RAM ユーザーは操作を実行する権限を持っていません。