表現式ポリシー
最終更新日:2022-06-03 14:48:09
表現式ポリシー
ポリシーの基本要素は、権限ポリシーの基本コンポーネントです。IAMは権限ポリシーを用いて、特定の承認内容を記述します。
ポリシーの基本要素の基本知識を理解することで、権限ポリシーをより合理的に使用することができます。
ポリシーの基本要素
要素の説明
| Element | Description |
|---|---|
| 効果 | 2種類の承認効果を意味します:許可と拒否。 |
| アクション | オペレーションとは、特定のリソース使用を意味します |
| リソース | リソースとは許可された特定のオブジェクトを意味します |
ポリシー要素使用の基本ルール
- 効果
有効値は[許可]と[拒否]。 - アクション
アクションは、CDNetworksから定義された複数の値に対応しています。
シンタックス
< service-name>:< action-name>
サービス名は
CDNetworksサービスの名前です。
アクション名は
サービスからの1つ以上のオペレーションの名前です。
例:“アクション”: [“wos:ListBuckets”]
- リソース
リソースは通常、権限を承認された特定のオブジェクトを指します。
Syntax
wsc:< service-name>:< region>:< account>:< relative-id>.
wsc
CDNetworksコンソールの頭文字です。
サービス名:CDNetworksのサービスの製品名です。wosなどがあります。
リージョン
リージョン情報。リソースがこのパラメータに対応していない場合、アスタリスク(*)のワイルドカード文字を使用できます。
ログイン名(英語)。
関連ID
サービス関連リソースの識別子。この要素の意味は、サービスによって異なります。関連ID要素の値は、ファイルパスの場合もあります。例。関連ID = “mybucket/dir1/object1.jpg”は、WOSオブジェクトを意味します。
例: “Resource”: [“wsc:wos:::mybucket”, “wsc:wos:::mybucket/*”]
ポリシーの例
次の権限ポリシーは、WOS samplebucketで読み取り専用のオペレーションを許可し、書き込みを禁止します。
{
“Version”: “1”, “Statement”:
[{
“Effect”:“Allow”,
“Action”: [“wos:List*”, “wos:Get*”], “Resource”: [“wsc:wos:::samplebucket”, “wsc:wos:::samplebucket/"],
},
{
“Effect”:“Deny”,
“Action”: ["wos:Delete”, “wos:Put*”], “Resource”: [“wsc:wos:::samplebucket”, “wsc:wos:::samplebucket/*”],
}]
}