このトピックでは、ログインマスクおよびアカウントログインセッションの持続時間の設定方法について説明します。
アカウントセキュリティに関する推奨事項
ご利用の Alibaba Cloud アカウントおよびクラウド資産を保護するため、Alibaba Cloud は多層的なセキュリティ対策を提供しています。以下の機能をセキュリティ要件に応じて組み合わせることで、ディフェンス・イン・デプス(縦深防御)体制を構築できます。
セキュリティ対策 | 主な機能 | 利用シーン |
強く推奨。パスワードに加えて動的認証コードによる追加レイヤーを導入することは、アカウントの不正利用を防ぐ最も効果的な手段の一つです。 | すべてのアカウントはセキュリティ保護する必要があります。特に、重要な資産を保持するルートアカウントです。 | |
最小権限の原則に従い、異なるメンバーごとに個別の Resource Access Management (RAM) ユーザーを作成し、限定的な権限を付与します。これにより、Alibaba Cloud アカウントの共有を回避し、リスクを効果的に分離できます。 | チームでの共同作業や権限委譲が発生するすべてのシナリオ。 | |
特定の固定パブリック IP アドレスからのみログインを許可することで、高度なアクセス制御を実現します。誤った設定を行うと、アカウントからロックアウトされる可能性があります。 | 長期的に固定パブリック IP アドレスを保有しており、高いセキュリティ要件を持つ企業または個人。 | |
操作の利便性とセキュリティリスクのバランスを取ります。公共端末でのセッション持続時間を短縮することで、セッションハイジャックのリスクを軽減できます。 | すべてのユーザー。パブリックネットワークや社内ネットワークなど、ネットワーク環境に応じて動的に調整してください。 |
アカウントログイン用 IP アドレスホワイトリスト(ログインマスク)の設定
最高レベルのログインセキュリティを実現するには、ログインマスク(IP アドレスホワイトリストとも呼ばれます)を設定します。これにより、指定されたパブリック IP アドレスまたは IP アドレス範囲からのみアカウントへのログインが許可されます。ホワイトリストを設定後、ホワイトリスト内の送信元 IP アドレスを持つユーザーのみが Alibaba Cloud 管理コンソールにログインできるようになります。
ベストプラクティス:誤ってロックアウトされないように、緊急時のアクセスチャネルとして、別の固定ネットワーク接続の信頼できる予備の静的 IP アドレスを追加することを推奨します。プライマリ IP アドレスを設定中に追加をクリックすることで、予備 IP を登録できます。
ログインマスクを設定後、指定された IP アドレスまたは IP アドレス範囲からのみ Alibaba Cloud Web サイトにログインできます。それ以外の IP アドレスからのログインは失敗します。慎重に操作してください。
操作手順
Alibaba Cloud アカウントセンターにログインします。セキュリティ設定ページのその他の設定セクションで、ログインマスク列の設定をクリックします。
ログインマスクテキストボックスに、対象の IP アドレス(例:192.168.0.1。この IP アドレスからのみ Alibaba Cloud Web サイトにログイン可能)を入力し、OKをクリックします。
ホワイトリストに含まれない IP アドレスから Alibaba Cloud アカウントにログインしようとすると、ログインは失敗します。
IP ホワイトリストによりロックアウトされた場合の復旧方法
ネットワークのパブリック IP アドレスが変更されるなど、IP 設定ミスによりコンソールにログインできなくなった場合は、チケットを送信してすべての IP ホワイトリスト設定をクリアするよう依頼できます。
チケットを送信するには:詳細については、「仮想 MFA が利用できない、または IP マスクによりログインが制限されている場合」をご参照のうえ、アカウントチケットを送信してください。
チケットの審査プロセスには通常、3 営業日かかります。あらかじめ計画を立ててください。
アカウントセッションの持続時間の設定
セッション持続時間とは、Alibaba Cloud 管理コンソールにログイン後、ブラウザセッションがアクティブなまま維持される最長時間です。この時間が経過すると、システムが自動的にログアウトします。
デフォルトの持続時間:Alibaba Cloud アカウントのデフォルトセッション持続時間は、3 時間です。
適用範囲:
適用対象:この設定は、Alibaba Cloud アカウント(ルートアカウント)がコンソールにログインする際のブラウザセッションにのみ適用されます。
非適用対象:この設定は RAM ユーザーのログインセッション(RAM ユーザーのセキュリティ設定の管理で個別に設定する必要があります)や、AccessKey を使用した API またはソフトウェア開発キット (SDK) の呼び出しには影響しません。
設定に関する推奨事項
セッション持続時間を延長すると利便性は向上しますが、端末が不正アクセスされた場合のセキュリティリスクも高まります。動作環境に応じて、慎重に持続時間を選択してください。
推奨持続時間 | セキュリティレベル | 利用シーン |
1 ~ 8 時間 | 高 | パブリックネットワーク、共有端末、または金融・権限管理など極めて機微な操作を行う場合。 |
8 ~ 24 時間 | 中 | 信頼できる個人端末上で安全なネットワーク環境で日常的な操作を行う場合。ほとんどのシナリオで推奨される設定です。 |
操作手順
Alibaba Cloud アカウントセンターにログインします。セキュリティ設定ページのその他の設定セクションで、ログインステータス列の変更をクリックします。
ダイアログボックスで、ログイン保持時間を設定し、OKをクリックします。
ログイン保持時間を設定後、設定を反映させるには再度ログインする必要があります。