Posted at

AlibabaCloudのカスタマイズ権限付与ポリシーってどんなの?

More than 1 year has passed since last update.


はじめに

前回は、AlibabaCloudのRAMユーザー、グループに

AdministratorAccess権限を付与してきました。

今回は、RAMのポリシーについて触れます。


ドキュメントはこちら

権限とポリシー - ユーザーガイド| Alibaba Cloud ドキュメントセンター


ポリシーは2種類あります。


システム認証ポリシー

権限付与ポリシー管理 - ユーザーガイド| Alibaba Cloud ドキュメントセンター

に記載されております。

少しピックアップしますと

権限付与ポリシー名
補足

AliyunOSSFullAccess
管理コンソールから Object Storage Service (OSS) にフルにアクセスできます。

AliyunOSSReadOnlyAccess
管理コンソールから Object Storage Service (OSS) に読み取り専用でアクセスできます。

AliyunECSFullAccess
管理コンソールから Elastic Compute Service (ECS) にフルにアクセスできます。

といったようAlibabaCloud側で用意されたのポリシーになってます。

厳密な管理をしないのであれば、XxxxxxFullAccess, XxxxxReadOnlyAccessでもある程度はできるでしょう。


カスタム許可ポリシー

こちらはユーザー自身で記述し管理するものになります。

下記の2つのドキュメントを理解し記述する必要があります。

ポリシーの基本要素 - ユーザーガイド| Alibaba Cloud ドキュメントセンター

ポリシー構文の構造 - ユーザーガイド| Alibaba Cloud ドキュメントセンター


ポリシーの評価ルール

評価ルール - ユーザーガイド| Alibaba Cloud ドキュメントセンター

のドキュメントは特に重要です。

policy.png

ぜひ、こちらの図は必ず頭に入れておく必要があります。


カスタム許可ポリシーを使用するユースケース

システムが使用するポリシーを例に考えてみましょう。

メッセージ(キュー)を利用するシステムで

メッセージを取得し処理するだけでしたら

例えばこういったポリシーになります。

{

"Version": "1",
"Statement": [
{
"Action": [
"mns:ReceiveMessage"
],
"Resource": "acs:mns:*:*:/queues/pocMessage/messages",
"Effect": "Allow"
}
]
}

AliyunMNSReadOnlyAccessを参考に作成しました。


カスタム許可ポリシーを作ってみる

コンソールからRAMを選択します。

36ad4008.png

baa420c8.png

95289f10.png

71c66e86.png

作成できましたので、RAMユーザーに関連付けします

e0015a71.png

4ab19250.png

1074bb65.png

cc9c49d4.png

e1e2c121.png


まとめ

カスタマイズ権限付与ポリシーを作成する前に

ポイントを押さえてから進めていくと効率よく進みます。

ECS インスタンスの承認 - 権限付与ユースケース| Alibaba Cloud ドキュメントセンター



OSS 権限付与ポリシーのサンプル - 権限付与ユースケース| Alibaba Cloud ドキュメントセンター

などを参考にして進めるとスムーズです。

ポリシー名は適切な命名ルールを作成しておくとよいです。

数が増えたり煩雑になりましたら、整理するというのもよいかと思います。

また、各種サービスのAPIドキュメントをみて

必要なポリシーを付与していきましょう。

RESTful APIの概要 - API リファレンス| Alibaba Cloud ドキュメントセンター