すべてのプロダクト
Search

このプロダクト

    CloudQuotation:ID 管理

    ドキュメントセンター

    CloudQuotation:ID 管理

    最終更新日:Feb 19, 2025

    アカウントとリソースのセキュリティを確保するために、Alibaba Cloud アカウントを使用して CloudQuotation にアクセスしないことをお勧めします。Resource Access Management (RAM) ユーザーまたは RAM ロールとして CloudQuotation にアクセスすることをお勧めします。

    RAM ユーザー

    RAM ユーザーは、Alibaba Cloud アカウント、または管理権限を持つ RAM ユーザーまたは RAM ロールによって作成できます。RAM ユーザーは、必要な権限を持っている場合にのみ、コンソールにログインしたり、Alibaba Cloud アカウント内の Alibaba Cloud リソースにアクセスしたりできます。

    以下の点にご注意ください。

    • Alibaba Cloud アカウントを使用して RAM ユーザーを作成し、RAM ユーザーに管理権限を付与します。その後、RAM ユーザーを使用して他の RAM ユーザーを作成および管理できます。

    • 個人の RAM ユーザーとプログラムの RAM ユーザーを区別します。

      [RAM コンソール] または [API 操作の呼び出し] を使用して RAM ユーザーを作成できます。 [RAM コンソール] を使用する場合は、Alibaba Cloud アカウントのユーザー名とパスワードを指定する必要があります。 [API 操作の呼び出し] を使用する場合は、AccessKey ペアを指定する必要があります。人的ミスを防ぐために、個人の RAM ユーザーとプログラムの RAM ユーザーを分けて使用することをお勧めします。 [RAM コンソール] を使用する場合は、セキュリティを強化するために多要素認証 (MFA) を有効にすることをお勧めします。

    • 最小権限の原則に基づいて RAM ユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限です。最小権限は、データセキュリティを向上させ、権限の乱用を防ぎます。

    • AccessKey ID または AccessKey シークレットをコードに埋め込まないでください。埋め込むと、AccessKey ペアが漏洩し、アカウント内のすべてのリソースのセキュリティリスクにつながる可能性があります。セキュリティトークンサービス (STS) トークンを使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。

    • RAM ユーザーに対してシングルサインオン (SSO) を有効にして、企業の ID 管理システムから Alibaba Cloud リソースにログインしてアクセスできるようにします。

    関連操作

    RAM ユーザーグループ

    Alibaba Cloud アカウントを使用して複数の RAM ユーザーを作成する場合は、権限管理を容易にするために RAM ユーザーをグループ化できます。たとえば、同じ RAM ユーザーグループ内の RAM ユーザーに同じ権限を付与できます。以下の点にご注意ください。

    • 最小権限の原則に基づいて RAM ユーザーグループに権限を付与します。

    • RAM ユーザーの職務が変更された場合は、RAM ユーザーグループから RAM ユーザーを削除します。

    • RAM ユーザーグループが権限を必要としなくなった場合は、RAM ユーザーグループから権限を取り消します。

    関連操作

    RAM ロール

    RAM ロールは、ポリシーをアタッチできる仮想 ID です。RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な ID 資格情報はありません。RAM ロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。RAM ロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはセキュリティトークンサービス (STS) トークンを取得できます。その後、信頼できるエンティティは STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。

    以下の点にご注意ください。

    • RAM ロールの作成後に、RAM ロールの信頼できるエンティティを頻繁に変更しないでください。RAM ロールの信頼できるエンティティを変更すると、権限が失われ、ビジネスに影響を与える可能性があります。信頼できるエンティティを追加すると、権限昇格によりセキュリティリスクが発生する可能性があります。変更を RAM ロールに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与されると、信頼できるエンティティは AssumeRole オペレーションを呼び出して STS トークンを取得し、それを使用して RAM ロールを引き受けることができます。詳細については、「AssumeRole」をご参照ください。STS トークンは、限られた期間だけ有効です。セキュリティリスクを軽減するために、有効期間を適切な値に設定することをお勧めします。

      説明

      STS トークンの最大有効期間は、RAM ロールに指定された最長セッション期間です。セキュリティリスクを軽減するために、RAM ロールに適切なセッション期間を指定することをお勧めします。

    • RAM ロールに対して SSO を有効にして、企業の ID 管理システムから Alibaba Cloud リソースにログインしてアクセスできるようにします。

    関連操作

    参照