Resource Access Management (RAM) を使用すると、Alibaba Cloud アカウントと RAM ユーザーの権限を個別に管理できます。異なる RAM ユーザーに異なる権限を付与することで、Alibaba Cloud アカウントの AccessKey ペアの漏洩によるセキュリティリスクを防ぐことができます。
背景情報
企業 A は ApsaraMQ for RabbitMQ を有効化しており、インスタンス、キュー、仮想ホスト (vhost)、エクスチェンジなどの ApsaraMQ for RabbitMQ リソースに対する権限を従業員に付与したいと考えています。この場合、企業 A は従業員に異なる権限を付与する必要があります。企業 A の詳細な要件は以下のとおりです。
セキュリティ上の理由から、企業 A は Alibaba Cloud アカウントの AccessKey ペアを従業員に開示したくありません。代わりに、従業員ごとに異なる RAM ユーザーを作成し、RAM ユーザーに異なる権限を付与することを希望しています。
RAM ユーザーは、必要な権限が付与された後にのみリソースを管理できます。リソースの使用量と費用は、RAM ユーザーごとに個別に計算されません。すべての費用は、企業 A の Alibaba Cloud アカウントに請求されます。
企業 A は、RAM ユーザーに付与された権限を取り消し、RAM ユーザーをいつでも削除できます。
手順 1:RAM ユーザーを作成する
企業 A は、Alibaba Cloud アカウントを使用して RAM コンソールにログオンし、RAM ユーザーを作成します。
手順
管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログオンします。
左側のナビゲーションペーンで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
ユーザーアカウント情報[ユーザーの作成] ページの セクションで、次のパラメーターを設定します。
ログオン名: ログオン名は最大 64 文字で、文字、数字、ピリオド (.)、ハイフン (-)、アンダースコア (_) を使用できます。
表示名: 表示名は最大 128 文字です。
タグ:
アイコンをクリックし、タグキーとタグ値を入力します。RAM ユーザーに 1 つ以上のタグを追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。
説明[ユーザーの追加] をクリックすると、複数の RAM ユーザーを一度に作成できます。
[アクセスモード] セクションで、アクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーには 1 つのアクセスモードのみを選択することをお勧めします。このようにして、個人の RAM ユーザーとプログラムの RAM ユーザーが分離されます。
コンソールアクセス
RAM ユーザーが個人を表す場合は、RAM ユーザーにコンソールアクセスを選択することをお勧めします。このようにして、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメーターを設定する必要があります。
コンソールパスワードの設定: [デフォルトパスワードを自動的に再生成する] または [カスタムパスワードをリセットする] を選択できます。[カスタムパスワードをリセットする] を選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。
パスワードのリセット: 次回のログオン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。
MAF を有効にする: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。
永続 Accesskey を使用してアクセスする
RAM ユーザーがプログラムを表す場合は、RAM ユーザーに [永続 AccessKey を使用してアクセスする] を選択できます。このようにして、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「AccessKey ペアを取得する」をご参照ください。
重要RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。
AccessKey ペアは、アプリケーションアクセスのための永続的な認証情報です。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、Security Token Service (STS) トークンを使用することをお勧めします。詳細については、「アクセス認証情報を使用して API 操作を呼び出すためのベストプラクティス」をご参照ください。
[OK] をクリックします。
プロンプトに従ってセキュリティ検証を完了します。
手順 2:RAM ユーザーに権限を付与する
企業 A は、異なる RAM ユーザーに異なる権限を付与します。
RAM 管理者として RAM コンソール にログオンします。
左側のナビゲーションペーンで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
リソーススコープを選択します。
アカウント: 権限は現在の Alibaba Cloud アカウントに適用されます。
リソースグループ: 権限は特定のリソースグループに適用されます。
説明[リソーススコープ] パラメーターに [リソースグループ] を選択する場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。
プリンシパルを指定します。
プリンシパルは、権限を付与する RAM ユーザーです。
ポリシーを選択します。
ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。
システムポリシー: Alibaba Cloud によって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって管理されます。詳細については、「RAM と連携するサービス」をご参照ください。
カスタムポリシー: ビジネス要件に基づいて管理および更新されるポリシー。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーを作成する」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして不要な権限を付与しないことをお勧めします。
[権限の付与] をクリックします。
[閉じる] をクリックします。
次の手順
企業 A が RAM ユーザーに権限を付与した後、RAM ユーザーを使用する従業員は、次のいずれかの方法を使用して ApsaraMQ for RabbitMQ にアクセスできます。
ApsaraMQ for RabbitMQ コンソール
ブラウザーで RAM ユーザーログオンページ を開きます。
[RAM ユーザーログオン] ページで、RAM ユーザーの名前を入力し、[次へ] をクリックし、パスワードを入力して、[ログオン] をクリックします。
説明RAM ユーザーの名前は、<$username>@<$AccountAlias> 形式または <$username>@<$AccountAlias>.onaliyun.com 形式です。<$AccountAlias> はアカウントエイリアスを指定します。アカウントエイリアスが指定されていない場合は、Alibaba Cloud アカウントの ID が使用されます。
API 操作
コードに RAM ユーザーの AccessKey ID と AccessKey シークレットを指定して、ApsaraMQ for RabbitMQ にアクセスするためのリクエストを開始します。