Alibaba Cloud アカウントの代わりに Resource Access Management (RAM) ユーザーを使用することは、セキュリティ上の重要なベストプラクティスです。Alibaba Cloud アカウントには無制限の権限があるため、管理者として RAM ユーザーを作成した後は、日常のタスクに Alibaba Cloud アカウントを使用しないことを強く推奨します。
Alibaba Cloud アカウントの代わりに RAM ユーザーを使用する理由
次の表では、Alibaba Cloud アカウントと Resource Access Management (RAM) ユーザーを ID と権限の観点から比較します。RAM は、ユーザー ID とリソースアクセス権限を管理できる Alibaba Cloud サービスです。詳細については、「Resource Access Management とは」をご参照ください。この表には、推奨事項も含まれています。
項目 | Alibaba Cloud アカウント | RAM ユーザー |
ID ロール | リソースの所有者。すべての資産の完全な所有権と最高の権限を持ちます。 | リソースとサービスのユーザー。権限は Alibaba Cloud アカウントによって付与されます。RAM ユーザーは通常、特定の人またはアプリケーションに対応します。 |
クラウドリソースを所有 | はい | いいえ。リソースは Alibaba Cloud アカウントによって所有されます。 |
デフォルトの権限 | 完全な権限。制限できません。 | デフォルトでは権限がありません。Alibaba Cloud アカウントによって権限を付与される必要があります。 |
推奨される使用方法 | 権限付与、支払い、アカウント管理などの主要な管理操作にのみ使用します。 | 日常の開発、O&M、デプロイメント、およびその他のタスク。 |
RAM ユーザーは、Alibaba Cloud アカウントのデータを表示したり、アカウントセンターで構成を管理したりすることはできません。
アカウントセキュリティのベストプラクティス
日常の管理および技術的な操作専用に、管理者権限を持つ RAM ユーザーを作成します。
Alibaba Cloud アカウントは、絶対に必要な場合にのみ使用してください。パスワードと、多要素認証 (MFA) 認証情報などの関連する認証情報を安全に保管してください。
すべての日常の操作は、RAM 管理者ユーザーを使用して実行します。これにより、日常の作業環境で Alibaba Cloud アカウントが公開されるのを防ぎます。
管理者権限を持つ RAM ユーザーを作成する
次の手順に従って、Alibaba Cloud アカウントでログインし、管理者として機能する RAM ユーザーを作成します。
クイック作成
Alibaba Cloud アカウントを使用して RAM コンソールにログインします。[概要] ページで、[クイックスタート] > [アカウント管理者] をクリックします。
[アカウント管理者] の構成パラメーターを確認し、[実行] をクリックします。
デフォルトでは、このアカウント管理者にはコンソールアクセスが有効になっており、AdministratorAccess システムポリシーがアタッチされています。このポリシーは、すべての Alibaba Cloud リソースを管理する権限を付与します。
構成が完了したら、このアカウント管理者の RAM ユーザー名とログインパスワードを保存します。
アカウント管理者が作成された後、RAM コンソールの対応するメニューでその構成パラメーターを変更できます。
手動作成
RAM ユーザーの作成
Alibaba Cloud アカウントで RAM コンソールにログインします。左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。次に、[ユーザーの作成] をクリックします。
RAM ユーザーの情報を入力します。
ログイン名: 管理者名 (例: administrator) を入力します。
表示名: 簡単に識別できるエイリアス (例: Administrator) を入力します。
アクセスモード: アクセスモードを選択します。OpenAPI アクセスを選択する場合は、注意して進めてください。詳細については、「Alibaba Cloud OpenAPI にアクセスするためのアクセス認証情報の使用に関するベストプラクティス」をご参照ください。
多要素認証 (MFA): [MFA を有効化] で必要なオプションを選択します。詳細については、「RAM ユーザーに MFA デバイスをアタッチする」をご参照ください。
画面の指示に従って、セキュリティ認証を完了します。
RAM ユーザーへの権限の付与
[ユーザー] ページで、対象の RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、AdministratorAccess という名前のシステム [ポリシー] を RAM ユーザーにアタッチします。このポリシーは、すべての Alibaba Cloud リソースを管理する権限を付与します。
RAM ユーザーでのログイン
ただちに Alibaba Cloud アカウントからログアウトします。
RAM ユーザーでコンソールにログインします。RAM ユーザーログインページに移動します。RAM の [ユーザー名] を入力し、[次へ] をクリックし、RAM の [パスワード] を入力して、[ログイン] をクリックします。
これ以降、クラウドリソースの管理、開発、運用保守 (O&M) などのすべての日常タスクには、この RAM 管理者ユーザーを使用します。
よくある質問
この RAM ユーザーと Alibaba Cloud アカウントの主な違いは何ですか?
主な違いは、権限のソースと管理です。Alibaba Cloud アカウントには、他のどのアカウントによっても取り消したり制限したりできない、究極の組み込み権限があります。RAM ユーザーの権限は Alibaba Cloud アカウントによって付与され、いつでも変更、取り消し、または無効にすることができます。
RAM 管理者の認証情報が漏洩した場合、Alibaba Cloud アカウントでログインして RAM ユーザーを削除または無効にすることで、リスクを軽減できます。しかし、Alibaba Cloud アカウントが漏洩した場合、すべてのリソースと権限が危険にさらされます。
さらに、本人確認、アカウント情報の変更、アカウントの閉鎖などの特定の高レベルの操作には、依然として Alibaba Cloud アカウントが必要です。RAM ユーザーには、これらの操作に対する権限がありません。