すべてのプロダクト
Search

このプロダクト

    Tablestore:カスタムアクセス制御ポリシーの使用

    ドキュメントセンター

    Tablestore:カスタムアクセス制御ポリシーの使用

    最終更新日:Dec 28, 2024

    カスタムアクセス制御ポリシーを使用して、リソースアクセスのための権限境界を定義できます。 Tablestoreはカスタムアクセス制御ポリシーをサポートしています。たとえば、カスタムアクセス制御ポリシーを使用して、ユーザーがTablestoreにアクセスするために使用できるTLSバージョンを制限したり、パブリックアクセスをサポートしないインスタンスのみを作成するようにユーザーを制限したりできます。ビジネス要件に基づいてカスタムアクセス制御ポリシーを設定します。

    背景情報

    リソースディレクトリ制御ポリシーは、フォルダーやメンバーなどのリソースの構造に基づくアクセス制御ポリシーです。リソースディレクトリ制御ポリシーを使用して、リソースディレクトリ内のフォルダーまたはメンバーの権限境界を一元的に管理できます。詳細については、概要を参照してください。

    アクセス制御ポリシーの構文

    アクセス制御ポリシーは、Effect、Action、Resource、Conditionの4つの基本要素で構成されます。詳細については、アクセス制御ポリシーの言語を参照してください。

    要素

    要素

    説明

    Effect

    ステートメントの結果が明示的な許可か明示的な拒否かを指定します。有効な値:AllowとDeny。

    Action

    許可または拒否される1つ以上のAPI操作を指定します。詳細については、「カスタムポリシーの設定」トピックのActionセクションを参照してください。

    Resource

    ポリシーが適用される1つ以上のオブジェクトを指定します。詳細については、「カスタムポリシーの設定」トピックのResourceセクションを参照してください。

    Condition

    ポリシーを有効にするために必要な条件を指定します。詳細については、このトピックのセクションを参照してください。

    Tablestoreはカスタムアクセス制御ポリシーをサポートしています。たとえば、カスタムアクセス制御ポリシーを使用して、ユーザーがTablestoreにアクセスするために使用できるTLSバージョンを制限したり、パブリックアクセスをサポートしないインスタンスのみを作成するようにユーザーを制限したりできます。ビジネス要件に基づいてカスタムアクセス制御ポリシーを設定します。

    ユーザーがTablestoreにアクセスするために使用できるTLSバージョンを制限する

    カスタムアクセス制御ポリシーを使用して、指定されたTLSバージョンでのみTablestoreへのアクセスを制限できます。これにより、Tablestoreアクセスセキュリティが強化されます。

    次のサンプルポリシーでは、TLS 1.2およびTLS 1.3でのみTablestoreへのアクセスを許可します。クライアントがTLS 1.2より前のバージョンまたはTLS 1.3より後のバージョンを使用してTablestoreへのアクセスをリクエストした場合、リクエストは失敗します。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

    パブリックアクセスをサポートしないインスタンスのみを作成するようにユーザーを制限する

    カスタムアクセス制御ポリシーを使用して、パブリックアクセスをサポートしないインスタンスのみを作成するようにユーザーを制限できます。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

    一般的なシナリオ

    リソースディレクトリにアクセスする前に、次の前提条件が満たされていることを確認してください。

    • リソースディレクトリを使用するための招待状を受け取っていること。

    • リソースディレクトリを有効にするために使用するAlibaba Cloudアカウントが、企業の実名認証に合格していること。個人実名認証のみを通過したアカウントは、リソースディレクトリを有効にするために使用できません。詳細については、リソースディレクトリの有効化を参照してください。

    • 企業の組織構造に基づいてフォルダーが作成されていること。詳細については、フォルダーの作成を参照してください。

    • メンバーが作成されているか、既存のAlibaba Cloudアカウントがリソースディレクトリに招待されていること。メンバーは対応するフォルダーに移動されます。詳細については、メンバーの作成リソースディレクトリに参加するためのAlibaba Cloudアカウントの招待、およびメンバーの移動を参照してください。

    シナリオ1:ユーザーがTablestoreにアクセスするために使用できるTLSバージョンを制限する

    1. 管理アカウントを使用して、制御ポリシー機能を有効にします。

      1. リソース管理コンソールにログオンします。

      2. 左側のナビゲーションペインで、リソースディレクトリ > 制御ポリシーを選択します。

      3. 表示されるページで、制御ポリシーの有効化をクリックします。

      4. 表示されるメッセージで、OKをクリックします。

      5. 更新アイコンをクリックして、制御ポリシー機能の状態を表示します。

    2. 管理アカウントを使用して、JSONタブでカスタムアクセス制御ポリシーを作成します。

      1. 左側のナビゲーションペインで、リソースディレクトリ > 制御ポリシーを選択します。

      2. 表示されるページのポリシータブで、ポリシーの作成をクリックします。

      3. ポリシーの作成ページで、JSONタブをクリックします。

      4. 次のアクセス制御ポリシーを入力し、ポリシー情報を編集するために次へをクリックします。

        {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "ots:*",
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringNotEquals": {
                  "ots:TLSVersion": [
                    "TLSv1.2",
                    "TLSv1.3"
                  ]
                }
            }
        }
    ]
}

      5. 名前メモパラメーターを設定します。

      6. 実際の状況に基づいて、アクセス制御ポリシーの内容を確認および最適化します。

    3. リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダーまたはメンバーにアタッチします。

      設定が完了すると、指定されたメンバーはTLS 1.2およびTLS 1.3でのみTablestoreにアクセスできます。

      1. 左側のナビゲーションペインで、リソースディレクトリ > 制御ポリシーを選択します。

      2. 制御ポリシーページで、アタッチメントタブをクリックします。アタッチメントタブのナビゲーションツリーで、アクセス制御ポリシーをアタッチするフォルダーまたはメンバーを見つけます。次に、フォルダーまたはメンバーの名前をクリックします。

      3. 表示されるセクションで、ポリシーのアタッチをクリックします。

      4. ポリシーのアタッチダイアログボックスで、フォルダーまたはメンバーにアタッチするアクセス制御ポリシーを選択します。

      5. 表示されるメッセージで、OKをクリックします。

    シナリオ2:パブリックアクセスをサポートしないインスタンスのみを作成するようにユーザーを制限する

    1. 管理アカウントを使用して、制御ポリシー機能を有効にします。

      1. リソース管理コンソールにログオンします。

      2. 左側のナビゲーションペインで、リソースディレクトリ > 制御ポリシーを選択します。

      3. 表示されるページで、制御ポリシーの有効化をクリックします。

      4. 表示されるメッセージで、OKをクリックします。

      5. 更新アイコンをクリックして、制御ポリシー機能の状態を表示します。

    2. 管理アカウントを使用して、JSONタブでカスタムアクセス制御ポリシーを作成します。

      1. 左側のナビゲーションペインで、リソースディレクトリ > 制御ポリシーを選択します。

      2. 表示されるページのポリシータブで、ポリシーの作成をクリックします。

      3. ポリシーの作成ページで、JSONタブをクリックします。

      4. 次のアクセス制御ポリシーを入力し、ポリシー情報を編集するために次へをクリックします。

        {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "ots:InsertInstance",
        "ots:CreateInstance",
        "ots:UpdateInstance"
      ],
      "Resource": "*",
      "Condition": {
        "Bool": {
          "ots:AllowInstanceInternetAccess": [
            "true"
          ]
        }
      }
    }
  ]
}

      5. 名前メモパラメーターを設定します。

      6. 実際の状況に基づいて、アクセス制御ポリシーの内容を確認および最適化します。

    3. リソースディレクトリの管理アカウントを使用して、作成したカスタムアクセス制御ポリシーをリソースディレクトリ内のフォルダーまたはメンバーにアタッチします。

      設定が完了すると、指定されたメンバーは、パブリックアクセスをサポートしないTablestoreインスタンスのみを作成できます。

      1. 左側のナビゲーションペインで、リソースディレクトリ > 制御ポリシーを選択します。

      2. 制御ポリシーページで、アタッチメントタブをクリックします。アタッチメントタブのナビゲーションツリーで、アクセス制御ポリシーをアタッチするフォルダーまたはメンバーを見つけます。次に、フォルダーまたはメンバーの名前をクリックします。

      3. 表示されるセクションで、ポリシーのアタッチをクリックします。

      4. ポリシーのアタッチダイアログボックスで、フォルダーまたはメンバーにアタッチするアクセス制御ポリシーを選択します。

      5. 表示されるメッセージで、OKをクリックします。