概要
カスタムポリシーの操作を変更した場合、システムは既存のポリシーを上書きせず、自動的に新しいバージョンを作成します。保存後、異なるバージョンをデフォルトバージョンに設定することで、各バージョンのポリシーへ迅速にロールバックが可能です。
デフォルトポリシーバージョンの権限設定
マスターアカウントまたはcam:ListPolicies、cam:GetPolicy、cam:UpdatePolicyインターフェース権限を持つサブアカウントは、デフォルトポリシーバージョンの設定を操作できます。
マスターアカウントは以下のポリシーシンタックスを通じて、サブアカウントにデフォルトポリシーバージョンの設定権限を付与できます。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"name/cam:ListPolicies",
"name/cam:GetPolicy",
"name/cam:UpdatePolicy"
],
"resource": [
"*"
]
}
]
}
カスタムポリシーのデフォルトバージョンの設定
カスタムポリシーのいずれかのバージョンをデフォルトバージョン(つまり有効バージョン)に設定できます。設定が成功すると、当該カスタムポリシーに関連付けられているすべてのサブアカウントは、現在のデフォルトバージョンに設定された権限を取得します。
1. Cloud Access Management (CAM)コンソールにログインし、ポリシー管理ページに移動します。 2. ポリシー管理ページで、設定する必要があるカスタムポリシー名をクリックし、ポリシー詳細ページに進みます。
3. ポリシー詳細ページで、ポリシーバージョンを選択します。
4. 設定する必要があるバージョンを見つけ、左側のチェックボックスを選択し、デフォルトに設定をクリックして、カスタムポリシーのデフォルトバージョン設定操作を完了します。
異なるバージョンによる変更のロールバック
カスタムポリシーのデフォルトバージョンを設定することで変更をロールバックできます。例えば、以下のシナリオを参照してください:
サブアカウントにCloud Virtual Machine (CVM)インスタンス ins-1 の読み取り権限を付与するカスタムポリシーを作成します。作成時、当該カスタムポリシーには1つのバージョン(バージョン1としてマーク)のみが存在し、このバージョンは自動的にデフォルトバージョンに設定されます。このポリシーは正常に機能します。
カスタムポリシーを更新し、既存のポリシーにCVMインスタンス ins-2 の読み取り権限を追加した場合、保存後にシステムは新しいポリシーバージョン(バージョン2としてマーク)を作成します。バージョン2をデフォルトバージョンに設定すると、サブアカウントからCVM管理権限が不足しているというフィードバックがありました。この状況では、正常に動作するポリシーバージョンであるバージョン1にロールバックできます。バージョン1をデフォルトバージョンに設定することで、サブアカウントは元のCVMインスタンスの管理を回復できます。
ポリシーバージョン2のエラーを特定し更新した後、システムは当該ポリシーの新しいバージョン(バージョン3としてマーク)を作成します。サブアカウントが2台のCVMインスタンス(ins-1およびins-2)の読み取り権限を持てるよう、バージョン3をデフォルトバージョンに設定できます。この時点で、誤ったポリシーバージョン2を削除できます。
バージョン制限
カスタムポリシーは最大5つのポリシーバージョンを保存できます。カスタムポリシーのバージョン数が5つに達した場合、編集内容を保存するには既存のバージョンを1つ以上削除する必要があります。ポップアップ表示されるダイアログボックスで、以下のいずれかの方法で既存のポリシーバージョンを削除できます:
最も古い非デフォルトポリシーバージョンを削除する。
削除する必要があるポリシーバージョンのチェックボックスを選択します(複数選択可)。左側の【▼】をクリックして各バージョンのポリシーシンタックスを閲覧でき、判断に役立ちます。
説明:
あるバージョンを削除する場合、残りのバージョンのバージョン識別子は変更されません。したがって、バージョン識別子が連続していない可能性があります。例えば、ポリシーバージョン2とバージョン4を削除し、その後新しいバージョンを2つ追加すると、残りのバージョン識別子はバージョン1、バージョン3、バージョン5、バージョン6、バージョン7となる可能性があります。