Cloud Migration Hub での RAM ベースのアクセス制御 - Cloud Migration Hub

Resource Access Management (RAM) は、ユーザー ID とリソース権限を一元管理できるサービスです。企業内の複数の従業員またはアプリケーションが Cloud Migration Hub リソースにアクセスする必要がある場合は、RAM を使用して権限を一元管理し、ビジネス要件に基づいて異なるアクセス権限を付与できます。RAM を使用して Alibaba Cloud サービスの権限を管理する前に、Alibaba Cloud サービスと連携できる RAM 機能について理解しておくことをお勧めします。このトピックでは、Cloud Migration Hub でサポートされている RAM 機能と、Cloud Migration Hub が RAM とどのように連携するかについて説明します。

Cloud Migration Hub でサポートされている RAM 機能

次の表は、RAM 機能と、Cloud Migration Hub でその機能がサポートされているかどうかを示しています。

RAM 機能	Cloud Migration Hub でのサポート
RAM ユーザーベースのアクセス	はい
セキュリティトークンサービス (STS) トークンベースのアクセス	はい
アカウントレベルの ID ベースのポリシー	はい
リソースグループレベルの ID ベースのポリシー	はい（一部サポート）
操作レベルの権限付与	はい
リソースレベルの権限付与	はい
Alibaba Cloud サービス固有の条件キー	はい
タグベースの権限付与	はい（一部サポート）
通常のサービスロール	いいえ
サービスにリンクされたロール	はい

説明

RAM および STS と連携できるすべてのサービスの詳細については、「RAM と連携するサービス」および「STS と連携するサービス」をご参照ください。

RAM ユーザーベースのアクセス

Cloud Migration Hub は、RAM ユーザーベースのアクセスをサポートしています。

RAM ユーザーは、固定の ID と資格情報を持つ物理 ID です。 RAM ユーザーは、人またはアプリケーションを表します。 RAM ユーザーが ID 資格情報を使用して Cloud Migration Hub にアクセスする場合、Cloud Migration Hub はリソースに対する RAM ユーザーの権限を確認します。

ID 資格情報は、RAM ユーザーの作成時に構成されます。 RAM ユーザーは、管理者アカウントを使用してのみ作成できます。サービスのコンソールで RAM ユーザーを使用してクラウドサービスのリソースにアクセスする場合は、RAM ユーザーのユーザー名とパスワードを指定する必要があります。 RAM ユーザーを使用して API オペレーションを呼び出すことによってリソースにアクセスする場合は、RAM ユーザーの AccessKey ペアを指定する必要があります。 RAM ユーザーのパスワードは定期的に変更し、RAM ユーザーのプレーンテキストの AccessKey ペアをコードに書き込まないでください。これにより、RAM ID 資格情報のセキュリティが向上します。詳細については、ID 管理を参照してください。
説明
管理者アカウントとは、管理権限を持つ Alibaba Cloud アカウント、RAM ユーザー、またはロールです。
デフォルトでは、RAM ユーザーには権限がありません。 RAM ユーザーを作成した後、管理者アカウントを使用して必要なポリシーを RAM ユーザーにアタッチし、クラウドリソースへのアクセス権限または管理権限を RAM ユーザーに付与する必要があります。 ID ベースのポリシーには、システムポリシーとカスタムポリシーが含まれます。システムポリシーは Alibaba Cloud によって作成されます。カスタムポリシーを作成できます。

参照

STS トークンベースのアクセス

Cloud Migration Hub は、STS トークンベースのアクセスをサポートしています。

STS は、RAM によって提供されるサブサービスです。 STS は、信頼できるエンティティが RAM ロールを引き受けることができるようにトークンを発行します。 STS トークンは、RAM ロールがクラウドリソースにアクセスするために使用する ID 資格情報です。 RAM ロールは仮想 RAM ID です。 RAM ロールには長期的な ID 資格情報がなく、信頼できるエンティティによって引き受ける必要があります。

AccessKey ペアなどの長期的な ID 資格情報と比較して、STS トークンなどの一時的な ID 資格情報は、露出期間を短縮し、クラウド資産のセキュリティを向上させるのに役立ちます。信頼できるエンティティと、RAM ロールと STS トークンが使用される一般的なシナリオの詳細については、「RAM ロールの概要」をご参照ください。

デフォルトでは、RAM ロールには権限がありません。管理者アカウントを使用して必要なポリシーを RAM ロールにアタッチし、クラウドリソースへのアクセス権限または管理権限を RAM ロールに付与する必要があります。 ID ベースのポリシーには、システムポリシーとカスタムポリシーが含まれます。システムポリシーは Alibaba Cloud によって作成されます。カスタムポリシーを作成できます。

参照

ID ベースのポリシー

Cloud Migration Hub は、ID ベースのポリシーをサポートしています。

RAM ユーザー、RAM ユーザーグループ、RAM ロールなどの RAM ID に ID ベースのポリシーをアタッチできます。 ID ベースのポリシーは、前述の RAM ID がどのリソースに対して、どのような条件下で、どのような操作を実行できるかを定義します。

管理の観点から見ると、ID ベースのポリシーには、システムポリシーとカスタムポリシーが含まれます。システムポリシーは Alibaba Cloud によって作成および保守されます。システムポリシーは使用することのみ可能です。システムポリシーを変更または削除することはできません。カスタムポリシーを作成および保守できます。カスタムポリシーは、RAM コンソールで、または API オペレーションを呼び出すことによって作成できます。
権限付与範囲の観点から見ると、ID ベースのポリシーには、アカウントレベルのポリシーとリソースグループレベルのポリシーが含まれます。アカウントレベルのポリシーの権限付与範囲には、Alibaba Cloud アカウント内のすべてのリソースが含まれます。リソースグループレベルのポリシーの権限付与範囲には、リソースグループ内のすべてのリソースが含まれます。アカウントレベルのポリシーは、リソースグループレベルのポリシーよりも優先されます。定義と権限付与範囲の詳細については、「ポリシーモデル」をご参照ください。 RAM ID に権限を付与するときに、権限付与範囲を指定できます。

参照

カスタムポリシーを作成する

操作レベルの権限付与

Cloud Migration Hub は、操作レベルの権限付与をサポートしています。

ポリシーでは、Action 要素は、ID が実行できる、または実行できない操作を指定します。ほとんどの場合、Action 要素で指定される操作は、関連する Alibaba Cloud サービスの API 操作と同じです。 Action 要素は、<ram-code>:<action-name> 形式です。

Cloud Migration Hub は、操作レベルの権限付与の粒度をサポートしています。ポリシーで特定の操作に対するアクセス権限を構成できます。

ほとんどの場合、カスタムポリシーを作成してアクセス制御を実装するときに、操作レベルの権限付与を使用できます。

Cloud Migration Hub の RAM コードの詳細については、を参照してください。その他の Alibaba Cloud サービスの RAM コードの詳細については、「RAM と連携するサービス」をご参照ください。
Cloud Migration Hub でサポートされているすべての操作の詳細については、を参照してください。

Cloud Migration Hub のポリシーにおける Action 要素の例

{
    "Statement": [
        {
            "Action": "apds:ListMigrationPlans",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

リソースレベルの権限付与

Cloud Migration Hub は、リソースレベルの権限付与をサポートしています。

ポリシーでは、Resource 要素は、ID が操作を実行できる、または実行できない 1 つ以上のリソースオブジェクトを指定します。リソースは、Alibaba Cloud サービスによって提供される管理可能なオブジェクトです。たとえば、オブジェクトは Object Storage Service (OSS) バケットまたは Elastic Compute Service (ECS) インスタンスにすることができます。 Resource 要素は、Alibaba Cloud サービスの Alibaba Cloud Resource Name (ARN) によって識別されます。 Resource 要素は、acs:<ram-code>:<region>:<account-id>:<relative-id> 形式です。操作がリソースレベルの権限付与をサポートしていない場合は、ワイルドカード文字 (*) を使用して、操作がすべてのリソースに有効であることを指定できます。

Cloud Migration Hub は、リソースレベルの権限付与の粒度をサポートしています。ポリシーで特定のリソースオブジェクトに対するアクセス権限を構成できます。ほとんどの場合、カスタムポリシーを作成してアクセス制御を実装するときに、リソースレベルの権限付与を使用できます。 Cloud Migration Hub でサポートされているすべてのリソースの詳細については、を参照してください。

Cloud Migration Hub のポリシーにおける Resource 要素の例

"Resource": [
    "acs:vpc:cn-beijing:135********:routerinterface/*",
    "acs:vpc:cn-beijing:135********:vrouter/*"
]

Alibaba Cloud サービス固有の条件キー

Cloud Migration Hub は、Alibaba Cloud サービス固有の条件キーをサポートしています。

ポリシーでは、Condition 要素は、ポリシーを有効にするために必要な条件を指定します。この要素はオプションです。 Condition 要素には、1 つ以上の条件を含めることができます。各条件は、条件演算子、条件キー、および条件値で構成されます。 RAM は条件演算子を定義します。条件キーには、一般的な条件キーacs:<condition-key> 形式の共通条件キーと、<ram-code>:<condition-key> 形式の Alibaba Cloud サービス固有の条件キーが含まれます。条件値は、条件キーによって異なります。 Condition 要素の詳細については、「ポリシー要素」をご参照ください。

Cloud Migration Hub は、Alibaba Cloud サービス固有の条件キーをサポートしています。特定の操作とリソースオブジェクトの権限を構成するときに、ポリシーを有効にするために必要な条件を構成できます。ほとんどの場合、カスタムポリシーを作成してアクセス制御を実装するときに、Alibaba Cloud サービス固有の条件キーを使用できます。 Cloud Migration Hub でサポートされている Alibaba Cloud サービス固有の条件キーの詳細については、を参照してください。

Cloud Migration Hub のポリシーにおける Condition 要素の例

"Condition": {
	"StringEquals": {
		"vpc:TargetAccountRDId": [
			"12****"
		]
},
"Bool": {
	"acs:SecureTransport": [
   		"true"
	]
}

タグベースの権限付与

Cloud Migration Hub は、タグベースの認証をサポートしています。

ポリシーでは、タグは共通条件キーであり、acs:ResourceTag/{tag-key} および acs:RequestTag/{tag-key} です。タグを使用して、さまざまなディメンションから同じ特性を持つクラウドリソースを分類、検索、および集計できます。これにより、リソース管理が容易になります。タグと連携できる Alibaba Cloud サービスの詳細については、「タグと連携するサービス」をご参照ください。

タグベースの認証を使用すると、クラウドリソースの権限を管理するときに、同じタグを持つクラウドリソースに同じ権限を付与できます。ほとんどの場合、カスタムポリシーでタグベースの認証を使用できます。

Cloud Migration Hub におけるタグベースの認証の例

このセクションでは、タグベースの認証の一般的なシナリオについて説明します。

参照

通常のサービスロール

Cloud Migration Hub は、通常のサービスロールをサポートしていません。

通常のサービスロールは、信頼できる Alibaba Cloud サービスによって引き受ける RAM ロールです。通常のサービスロールは、Alibaba Cloud サービス間のアクセスに使用されます。 Cloud Migration Hub の特定の機能を使用すると、ユーザー認証がトリガーされて通常のサービスロールが自動的に作成され、必要なリソースアクセス権限がロールに付与されます。ロールが作成されると、Cloud Migration Hub はロールを引き受けて他のクラウドサービスにアクセスできます。

RAM で通常のサービスロールを手動で作成、変更、および削除できます。通常のサービスロールにアタッチされているポリシーを変更することもできます。通常のサービスロール、またはロールにアタッチされているポリシーを変更すると、Cloud Migration Hub によって提供される機能に影響します。注意して進めてください。詳細については、を参照してください。

サービスにリンクされたロール

Cloud Migration Hub は、サービスにリンクされたロールをサポートしています。

サービスにリンクされたロールは、信頼できる Alibaba Cloud サービスによって引き受ける RAM ロールです。サービスにリンクされたロールは、Alibaba Cloud サービス間のアクセスに使用されます。 Cloud Migration Hub の特定の機能を使用すると、ユーザー認証がトリガーされてサービスにリンクされたロールが自動的に作成され、必要なリソースアクセス権限がロールに付与されます。ロールが作成されると、Cloud Migration Hub はロールを引き受けて他のクラウドサービスにアクセスできます。

Cloud Migration Hub のサービスにリンクされたロールは、Cloud Migration Hub のみが引き受けることができる RAM ロールです。サービスにリンクされたロールにアタッチされているポリシーは、Cloud Migration Hub によって定義、更新、および使用されます。 RAM でサービスにリンクされたロールにアタッチされているポリシーを表示できます。ポリシーを変更または削除することはできません。ロールにポリシーをアタッチしたり、ロールからポリシーをデタッチしたりすることはできません。詳細については、を参照してください。