システムポリシーとは何ですか?
システムポリシーとは、ポリシー構造と構文に基づいて定義される一連の権限を指します。このポリシーを使用することで、権限が付与されたリソースセットと操作セット、および権限付与の条件を詳細に記述できます。 Alibaba Cloud Resource Access Management (RAM) では、システムポリシーとカスタムポリシーが提供されています。システムポリシーは、Alibaba Cloud によって作成および更新されます。ユーザーはシステムポリシーを使用することはできますが、変更することはできません。一方、カスタムポリシーは、ユーザーは業務ニーズに応じて作成、更新および削除などのポリシー管理を行うことが可能です。製品のイテレーションに伴い、WAFV3 は新しい機能をサポートするためにシステムポリシーに新しい権限を追加します。システムポリシーの更新は、このポリシーを適用したすべての RAM ID (RAM ユーザー、RAM ユーザーグループ、RAM ロールなど) に影響を及ぼします。RAM ポリシーの詳細については、「ポリシーの概要」をご参照ください。
システムポリシーは、 初心者向けに簡単な設定を行うことで、コンソールにおいて Alibaba Cloud 製品にアクセスできるように設計されています。また、システムポリシーは API 操作や CLI コマンドなどのより高度な方法でも利用できます。この高度な方法に詳しいユーザーに、セキュリティの観点から、カスタムポリシーの使用をお勧めします。カスタムポリシーは、誰やどのアプリケーションに対して、どの API 操作権限を付与するかを細かく設定できるためです。
システムポリシーは、サービスシステムポリシー、サービスロールポリシー、およびサービスにリンクされたロールポリシーに分類できます。一部のクラウドサービスは、3 種類のポリシーのうち、1 つまたは 2 つのみ提供しています。 詳細については、以下のセクションで記載されたポリシーの種類をご参照ください。
サービスシステムポリシー
AliyunYundunWAFv3FullAccess
AliyunYundunWAFv3FullAccess ポリシー:管理コンソールを介し、Web Application Firewall3.0 へのフルアクセスを提供します。このポリシーは RAM ID に関連つけることが可能です。
AliyunYundunWAFv3ReadOnlyAccess
AliyunYundunWAFv3ReadOnlyAccess ポリシー:管理コンソールを介して、Web Application Firewall3.0 への読み取り専用アクセスを提供します。このポリシーは RAM ID に関連つけることが可能です。
関連ドキュメント
デフォルトでは、RAM ID には権限が付与されません。 RAM ID は、アカウント管理者に必要な権限を付与された後にのみ、Alibaba Cloud アカウント内のクラウドリソースにアクセスできます。リソースのセキュリティを確保するために、最小権限の原則に基づいて、RAM ID に必要な権限のみを付与することを推奨します。詳細については、以下のドキュメントをご参照ください。