すべてのプロダクト
Search

このプロダクト

    Application Real-Time Monitoring Service:ID 管理

    ドキュメントセンター

    Application Real-Time Monitoring Service:ID 管理

    最終更新日:Dec 30, 2024

    Alibaba Cloud アカウントとクラウド リソースのセキュリティを確保するために、Alibaba Cloud アカウントを使用して Application Real-Time Monitoring Service (ARMS) にアクセスしないでください。Resource Access Management (RAM) ユーザーまたは RAM ロールを使用して ARMS にアクセスすることをお勧めします。

    RAM ユーザー

    RAM ユーザーは、Alibaba Cloud アカウント、または管理権限を持つ RAM ユーザーまたは RAM ロールによって作成できます。RAM ユーザーは、必要な権限を持っている場合にのみ、コンソールにログオンしたり、Alibaba Cloud アカウント内の Alibaba Cloud リソースにアクセスしたりできます。

    以下の点に注意することをお勧めします。

    • Alibaba Cloud アカウントを使用して RAM ユーザーを作成し、RAM ユーザーに管理権限を付与します。その後、RAM ユーザーを使用して他の RAM ユーザーを作成および管理できます。

    • 個人の RAM ユーザーとプログラムの RAM ユーザーを区別します。

      RAM コンソールまたはAPI オペレーションの呼び出しを使用して RAM ユーザーを作成できます。RAM コンソールを使用する場合は、Alibaba Cloud アカウントのユーザー名とパスワードを入力する必要があります。API オペレーションを呼び出す場合は、AccessKey ペアを入力する必要があります。人的ミスを防ぐために、個人の RAM ユーザーとプログラムの RAM ユーザーを区別することをお勧めします。RAM コンソールを使用する場合は、セキュリティを強化するために多要素認証 (MFA) を有効にすることをお勧めします。

    • 最小権限の原則に基づいて RAM ユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限のことです。最小権限は、データ セキュリティを向上させ、権限の乱用を防ぎます。

    • AccessKey ID または AccessKey シークレットをコードに埋め込まないでください。埋め込むと、AccessKey ペアが漏洩し、アカウント内のすべてのリソースにセキュリティ リスクが生じる可能性があります。Security Token Service (STS) トークンを使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。

    • RAM ユーザーに対してシングル サインオン (SSO) を有効にして、RAM ユーザーが企業の ID 管理システムから Alibaba Cloud リソースにログオンしてアクセスできるようにします。

    関連操作

    RAM ユーザー グループ

    Alibaba Cloud アカウントを使用して複数の RAM ユーザーを作成する場合は、権限管理を容易にするために RAM ユーザーをグループ化できます。たとえば、同じ RAM ユーザー グループ内の RAM ユーザーに同じ権限を付与できます。以下の点に注意することをお勧めします。

    • 最小権限の原則に基づいて RAM ユーザー グループに権限を付与します。

    • RAM ユーザーの職務が変更された場合は、RAM ユーザー グループから RAM ユーザーを削除します。

    • RAM ユーザー グループが権限を必要としなくなった場合は、RAM ユーザー グループから権限を取り消します。

    関連操作

    RAM ロール

    RAM ロールは、ポリシーをアタッチできる仮想 ID です。RAM ロールには、ログオン パスワードや AccessKey ペアなどの永続的な ID 資格情報がありません。RAM ロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。RAM ロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティは Security Token Service (STS) トークンを取得できます。その後、信頼できるエンティティは STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。

    以下の点に注意することをお勧めします。

    • RAM ロールの作成後に、RAM ロールの信頼できるエンティティを頻繁に変更しないでください。RAM ロールの信頼できるエンティティを変更すると、権限が失われ、ビジネスに影響を与える可能性があります。信頼できるエンティティを追加すると、権限昇格によりセキュリティ リスクが発生する可能性があります。変更を RAM ロールに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与されると、信頼できるエンティティは AssumeRole オペレーションを呼び出して STS トークンを取得できます。このトークンを使用して RAM ロールを引き受けることができます。詳細については、AssumeRole を参照してください。STS トークンは、限られた期間だけ有効です。セキュリティ リスクを軽減するために、有効期間を適切な値に設定することをお勧めします。

      説明

      STS トークンの最大有効期間は、RAM ロールに指定された最長セッション期間です。セキュリティ リスクを軽減するために、RAM ロールに適切なセッション期間を指定することをお勧めします。

    • RAM ロールに対して SSO を有効にして、RAM ロールが企業の ID 管理システムから Alibaba Cloud リソースにログオンしてアクセスできるようにします。

    関連操作

    参考資料