リソースのセキュリティを確保するために、Resource Access Management (RAM) ポリシー、リソースディレクトリの制御ポリシー、Tablestore インスタンスのネットワーク ACL、および Tablestore インスタンスのインスタンスポリシーを使用して、Tablestore リソースへのアクセスを制御できます。このようにして、承認されたユーザーのみが Tablestore リソースにアクセスできます。
以下のアクセス制御方法は、Tablestore でサポートされています。RAM ポリシー、制御ポリシー、ネットワーク ACL、およびインスタンスポリシー。必要に応じて、複数のアクセス制御方法を組み合わせて使用できます。
RAM が提供する RAM ポリシー機能を使用すると、従業員、システム、アプリケーションなどのユーザーを一元的に管理し、クラウド リソースへのアクセスを制御できます。
リソース管理のリソースディレクトリサービスが提供する制御ポリシー機能を使用すると、リソースディレクトリ内のフォルダまたはメンバーの権限境界を一元的に管理できます。
Tablestore が提供するネットワーク ACL 機能を使用すると、ユーザーが Tablestore インスタンスにアクセスできるネットワークの種類を制限できます。
Tablestore が提供するインスタンスポリシー機能を使用すると、Tablestore インスタンスのアクセス元を制限できます。
次の表に、さまざまなアクセス制御方法の機能と適用可能なシナリオを示します。
アクセス制御方法 | 適用可能なシナリオ | サービス | 対象ユーザー | 使用上の注意 |
Alibaba Cloud アカウントの RAM ユーザーの権限と一時的なアクセス権限を管理します。 | RAM | RAM ユーザーに権限を付与し、Tablestore を RAM ユーザーとして使用するか、一時的なアクセストークンを使用して Tablestore にアクセスします。詳細については、RAM ポリシーを使用して RAM ユーザーに権限を付与する を参照してください。 |
| |
企業内のさまざまな部門の Alibaba Cloud アカウントのセキュリティポリシーを一元的に管理します。制御ポリシー機能は権限を付与するのではなく、アクセスを拒否するだけです。 | リソース管理 | 企業に複数の Alibaba Cloud アカウントがあり、これらのアカウントの権限を一元的に管理したいと考えています。詳細については、カスタムアクセス制御ポリシーを使用して企業ユーザーの権限境界を定義する を参照してください。 |
| |
Alibaba Cloud アカウントの Tablestore インスタンスへのネットワークアクセスを制御します。 | Tablestore | ユーザーが Tablestore インスタンスのリソースにアクセスできるネットワークの種類またはソースを制限する場合。詳細については、ネットワーク ACL を参照してください。 |
| |
Alibaba Cloud アカウントの Tablestore インスタンスの API 操作にきめ細かい権限を付与します。 | Tablestore | Tablestore インスタンスのリソースへのアクセス元を制限する場合。詳細については、インスタンスポリシーを使用してインスタンスのアクセス元を制限する を参照してください。 | ユーザーがインスタンスにアクセスするために使用できる IP アドレス、ネットワーク、TLS バージョンなど、Tablestore インスタンスのアクセス元を制限します。 |