Resource Access Management (RAM) は、Alibaba Cloud の ID およびアクセス管理サービスです。RAM を使用すると、Alibaba Cloud アカウントでユーザー (RAM ユーザー) を作成および管理し、特定の権限を割り当てることができます。これにより、クラウドリソースへのアクセスを詳細なレベルで許可または拒否でき、セキュリティと運用コントロールが向上します。
背景
RAM ユーザーは Alibaba Cloud アカウントに属し、リソースを所有することはできません。すべてのリソースは Alibaba Cloud アカウントによって所有されます。
RAM ユーザーが AnalyticDB for MySQL クラスターを作成した場合、そのクラスターは Alibaba Cloud アカウントによって所有されます。デフォルトでは、その RAM ユーザーと Alibaba Cloud アカウントのみがクラスターにアクセスまたは管理できます。他の RAM ユーザーには権限を付与する必要があります。
ユースケース
組織内の複数のユーザーが Alibaba Cloud アカウントで AnalyticDB for MySQL クラスターにアクセスする必要がある場合、一般的ですが安全でない方法は、すべてのユーザーが Alibaba Cloud アカウントの AccessKey ペアを共有することです。
Alibaba Cloud アカウントの AccessKey ペアを複数のユーザーと共有すると、次のセキュリティリスクが生じます。
キーが複数の人々の間で共有されるため、漏洩のリスクが高まります。
特定のユーザーがクラスターで実行できる操作 (スケールアウトや再起動など) をコントロールできません。
推奨されるソリューションは RAM を使用することです。個別の RAM ユーザーを作成し、特定の権限を付与することで、AnalyticDB for MySQL クラスターへのアクセスを安全に管理できます。
開始する前に
RAM ユーザーが AnalyticDB for MySQL クラスターにアクセスまたは管理できるようにするには、次の 2 つのステップに従います。
RAM ユーザーの作成
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。[ログイン名] と [表示名] を入力します。
説明[ユーザーの追加] をクリックすると、一度に複数の RAM ユーザーを作成できます。
[アクセスモード] セクションで、[コンソールアクセス] または [永続的な AccessKey を使用したアクセス] を選択します。
コンソールアクセス: 基本的なログインセキュリティ設定を構成します。これには、自動生成またはカスタムのログインパスワードの使用、次回のログイン時のパスワードリセットの要求、多要素認証 (MFA) の有効化が含まれます。
永続的な AccessKey を使用したアクセス: RAM ユーザー用に AccessKey ペアが自動的に作成されます。RAM ユーザーは、このペアを開発ツールと共に使用して AnalyticDB for MySQL クラスターにアクセスできます。
アカウントのセキュリティを向上させるため、各 RAM ユーザーには 1 つのアクセスモードのみを選択してください。これにより、組織を離れたユーザーが AccessKey ペアを使用して AnalyticDB for MySQL クラスターにアクセスするのを防ぐことができます。
[OK] をクリックして RAM ユーザーを作成します。
RAM ユーザーへの権限の付与
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、対象の RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の追加] ページで、ドロップダウンリストから [システムポリシー] を選択します。名前でポリシーを検索し、クリックして [選択済み] セクションに追加します。
警告過剰な権限を付与しないでください。権限が過剰なユーザーはあらゆる操作を実行できるため、セキュリティリスクやデータ損失につながる可能性があります。
ポリシーの説明:
Enterprise Edition、Basic Edition、および Data Lakehouse Edition クラスターの権限:
AliyunADBReadOnlyAccess: Enterprise Edition、Basic Edition、および Data Lakehouse Edition クラスターへの読み取り専用アクセスを許可します。
AliyunADBFullAccess: Enterprise Edition、Basic Edition、および Data Lakehouse Edition クラスターを管理する権限を許可します。
AliyunADBDeveloperAccess: Enterprise Edition、Basic Edition、および Data Lakehouse Edition クラスターの開発者権限を許可します。AliyunADBFullAccess ポリシーと比較して、AliyunADBDeveloperAccess には、クラスター構成の作成、削除、変更、または RAM ユーザーのアタッチを行う権限は含まれません。
Data Warehouse Edition (V3.0) クラスターの権限:
AliyunADBReadOnlyAccess: Data Warehouse Edition (V3.0) クラスターへの読み取り専用アクセスを許可します。
AliyunADBFullAccess: Data Warehouse Edition (V3.0) クラスターを管理する権限を許可します。
[OK] をクリックして権限を付与します。
権限を付与すると、RAM ユーザーは AnalyticDB for MySQL クラスターにアクセスまたは管理できるようになります。
カスタムポリシーの作成
RAM ユーザーに特定のインスタンスでの操作に対する詳細な権限を付与するには、RAM でカスタムポリシーを作成できます。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ポリシーを作成します。このトピックでは、AnalyticDB for MySQL クラスターを管理するためのポリシーの作成を例として使用します。
[JSON] タブを選択します。
ポリシースクリプトを入力します。次の例は、スクリプトの内容を示しています。
am-xxx インスタンスを管理する権限:
{ "Version": "1", "Statement": [ { "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"], "Resource": "acs:adb:*:*:dbcluster/*", "Effect": "Allow" }, { "Action": "adb:*", "Resource": ["acs:adb:*:*:dbcluster/am-xxx"], "Effect": "Allow" } ] }am-xxx インスタンスの読み取り専用権限:
{ "Version": "1", "Statement": [ { "Action": ["adb:DescribeDBClusters", "adb:ListTagResources"], "Resource": "acs:adb:*:*:dbcluster/*", "Effect": "Allow" }, { "Action": "adb:Describe*", "Resource": ["acs:adb:*:*:dbcluster/am-xxx"], "Effect": "Allow" } ] }RAM ユーザーが複数のクラスターを管理または読み取り専用でアクセスする必要がある場合は、スクリプトの
"Resource": ["acs:adb:*:*:dbcluster/am-xxx"]要素にクラスター ID を追加します。例:"Resource": ["acs:adb:*:*:dbcluster/am-xxx", "acs:adb:*:*:dbcluster/am-yyy"]。ポリシーを作成したら、RAM ユーザーにアタッチする必要があります。
[OK] をクリックします。
ポリシー名と説明を入力し、[OK] をクリックします。
関連ドキュメント
AnalyticDB for MySQL Enterprise、Basic、および Data Lakehouse エディション の場合、データベースの標準アカウントを RAM ユーザーにアタッチして、AnalyticDB for MySQL コンソールの SQL および Spark エディター内で直接データベース開発を有効にします。
RAM ユーザーが特定の権限を必要としなくなった場合、または組織を離れた場合は、これらの権限を削除するか、RAM ユーザーを削除できます。