はじめに
前回は、AlibabaCloudのRAMユーザー、グループに
AdministratorAccess権限を付与してきました。
今回は、RAMのポリシーについて触れます。
ドキュメントはこちら
権限とポリシー - ユーザーガイド| Alibaba Cloud ドキュメントセンター
ポリシーは2種類あります。
システム認証ポリシー
権限付与ポリシー管理 - ユーザーガイド| Alibaba Cloud ドキュメントセンター
に記載されております。
少しピックアップしますと
| 権限付与ポリシー名 | 補足 |
|---|---|
| AliyunOSSFullAccess | 管理コンソールから Object Storage Service (OSS) にフルにアクセスできます。 |
| AliyunOSSReadOnlyAccess | 管理コンソールから Object Storage Service (OSS) に読み取り専用でアクセスできます。 |
| AliyunECSFullAccess | 管理コンソールから Elastic Compute Service (ECS) にフルにアクセスできます。 |
といったようAlibabaCloud側で用意されたのポリシーになってます。
厳密な管理をしないのであれば、XxxxxxFullAccess, XxxxxReadOnlyAccessでもある程度はできるでしょう。
カスタム許可ポリシー
こちらはユーザー自身で記述し管理するものになります。
下記の2つのドキュメントを理解し記述する必要があります。
ポリシーの基本要素 - ユーザーガイド| Alibaba Cloud ドキュメントセンター
ポリシー構文の構造 - ユーザーガイド| Alibaba Cloud ドキュメントセンター
ポリシーの評価ルール
評価ルール - ユーザーガイド| Alibaba Cloud ドキュメントセンター
のドキュメントは特に重要です。
ぜひ、こちらの図は必ず頭に入れておく必要があります。
カスタム許可ポリシーを使用するユースケース
システムが使用するポリシーを例に考えてみましょう。
メッセージ(キュー)を利用するシステムで
メッセージを取得し処理するだけでしたら
例えばこういったポリシーになります。
{
"Version": "1",
"Statement": [
{
"Action": [
"mns:ReceiveMessage"
],
"Resource": "acs:mns:*:*:/queues/pocMessage/messages",
"Effect": "Allow"
}
]
}
※AliyunMNSReadOnlyAccessを参考に作成しました。
カスタム許可ポリシーを作ってみる
コンソールからRAMを選択します。
作成できましたので、RAMユーザーに関連付けします
まとめ
カスタマイズ権限付与ポリシーを作成する前に
ポイントを押さえてから進めていくと効率よく進みます。
ECS インスタンスの承認 - 権限付与ユースケース| Alibaba Cloud ドキュメントセンター
や
OSS 権限付与ポリシーのサンプル - 権限付与ユースケース| Alibaba Cloud ドキュメントセンター
などを参考にして進めるとスムーズです。
ポリシー名は適切な命名ルールを作成しておくとよいです。
数が増えたり煩雑になりましたら、整理するというのもよいかと思います。
また、各種サービスのAPIドキュメントをみて
必要なポリシーを付与していきましょう。