すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for RabbitMQ:ID管理

    ドキュメントセンター

    ApsaraMQ for RabbitMQ:ID管理

    最終更新日:Jan 14, 2025

    Alibaba Cloudアカウントとクラウド リソースのセキュリティを確保するために、特に必要がない限り、Alibaba Cloudアカウントを使用して ApsaraMQ for RabbitMQ にアクセスしないでください。ほとんどの場合、Resource Access Management ( RAM ) ユーザーまたはロールを使用して ApsaraMQ for RabbitMQ にアクセスすることをお勧めします。

    RAMユーザー

    RAMユーザーは、管理者権限を持つAlibaba Cloudアカウント、RAMユーザー、またはRAMロールによって作成されます。RAMユーザーは、必要な権限を取得した場合にのみ、コンソールにログオンしたり、Alibaba Cloudアカウント内のAlibaba Cloudリソースにアクセスしたりできます。以下の予防措置を講じることをお勧めします。

    • Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理者権限を付与します。その後、RAMユーザーを使用して他のRAMユーザーを作成および管理できます。

    • 個人用のRAMユーザーとプログラム用のRAMユーザーを区別します。

      [RAMコンソール] または [openapi Explorer] を使用してRAMユーザーを作成できます。RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。OpenAPI Explorerを使用する場合は、アクセス キー ペアを入力する必要があります。人為的なミスを防ぐために、同じタイプのシナリオには1つの方法のみを指定してください。RAMコンソールを使用する場合は、多要素認証を有効にしてセキュリティを強化することをお勧めします。

    • 最小権限の原則に基づいてRAMユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限を指し、その他の権限は除外されます。最小権限は、データ セキュリティを向上させ、権限の乱用を防ぎます。

    • AccessKey IDまたはAccessKeyシークレットをコードに埋め込まないでください。埋め込むと、アクセス キー ペアが漏洩し、アカウント内のすべてのリソースのセキュリティ リスクが高まる可能性があります。

    • RAMユーザーに対してシングル サインオン( SSO )を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログオンしてアクセスできるようにします。

    関連操作

    RAMユーザー グループ

    Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合は、権限管理を容易にするために、それらを異なるグループに分類できます。たとえば、同じRAMユーザー グループのRAMユーザーに同じ権限を付与できます。以下の予防措置を講じることをお勧めします。

    • 最小権限の原則に基づいてRAMユーザー グループに権限を付与します。

    • RAMユーザーの職務が変更された場合は、RAMユーザー グループからRAMユーザーを削除します。

    • RAMユーザーがRAMユーザー グループの権限を必要としなくなった場合は、RAMユーザー グループからRAMユーザーを削除します。

    関連操作

    RAMロール

    RAMロールは、ポリシーをアタッチできる仮想IDです。RAMロールには、ログオン パスワードやアクセス キー ペアなどの永続的なID認証情報がありません。RAMロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。信頼できるエンティティがRAMロールを引き受けると、信頼できるエンティティはSecurity Token Service ( STS ) トークンを取得できます。その後、信頼できるエンティティは STS トークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。

    以下の予防措置を講じることをお勧めします。

    • RAMユーザーの作成後に、RAMユーザーの信頼できるエンティティを頻繁に変更しないでください。RAMユーザーの信頼できるエンティティを変更すると、権限が失われ、サービスの操作に影響を与える可能性があります。信頼できるエンティティを追加すると、権限のエスカレーションによりセキュリティ リスクが発生する可能性があります。変更をRAMユーザーに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与されると、信頼できるエンティティは AssumeRole API操作を呼び出して STS トークンを取得し、それを使用してRAMロールを引き受けることができます。STSトークンは、限られた期間だけ有効です。セキュリティ リスクに備えて、有効期間を適切な値に設定することをお勧めします。

      説明

      STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。セキュリティ リスクを防ぐために、RAMロールに適切なセッション期間を指定することをお勧めします。

    • RAMロールに対して SSO を有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログオンしてアクセスできるようにします。

    関連操作

    参照