すべてのプロダクト
Search

このプロダクト

    Container Compute Service:ID 管理

    ドキュメントセンター

    Container Compute Service:ID 管理

    最終更新日:Jan 27, 2025

    Alibaba Cloud アカウントとクラウドリソースのセキュリティを確保するために、Alibaba Cloud アカウントを使用して Container Compute Service (ACS) にアクセスしないことをお勧めします。Container Registry にアクセスするには、Resource Access Management (RAM) ID(RAM ユーザーまたは RAM ロール)を使用することをお勧めします。

    RAM ユーザー

    RAM ユーザーは、Alibaba Cloud アカウント、または管理権限を持つ RAM ユーザーまたは RAM ロールによって作成できます。RAM ユーザーは、必要な権限を持っている場合にのみ、コンソールにログインしたり、Alibaba Cloud アカウント内の Alibaba Cloud リソースにアクセスしたりできます。

    以下の点にご注意ください。

    • Alibaba Cloud アカウントを使用して RAM ユーザーを作成し、RAM ユーザーに管理権限を付与します。その後、RAM ユーザーを使用して他の RAM ユーザーを作成および管理できます。

    • 個人の RAM ユーザーとプログラムの RAM ユーザーを区別します。

      [RAM コンソール] または [API オペレーションの呼び出し] を使用して RAM ユーザーを作成できます。RAM コンソールを使用する場合は、Alibaba Cloud アカウントのユーザー名とパスワードを入力する必要があります。API オペレーションを呼び出す場合は、AccessKey ペアを入力する必要があります。人的ミスを防ぐために、個人の RAM ユーザーとプログラムの RAM ユーザーを区別することをお勧めします。RAM コンソールを使用する場合は、セキュリティを強化するために多要素認証 (MFA) を有効にすることをお勧めします。

    • 最小権限の原則に基づいて RAM ユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限のことです。最小権限は、データセキュリティを向上させ、権限の乱用を防ぎます。

    • AccessKey ID または AccessKey シークレットをコードに埋め込まないでください。埋め込むと、AccessKey ペアが漏洩し、アカウント内のすべてのリソースにセキュリティリスクが生じる可能性があります。セキュリティトークンサービス (STS) トークンを使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。

    • RAM ユーザーに対してシングルサインオン (SSO) を有効にして、RAM ユーザーが企業の ID 管理システムから Alibaba Cloud リソースにログインしてアクセスできるようにします。

    関連操作

    RAM ユーザーグループ

    Alibaba Cloud アカウントを使用して複数の RAM ユーザーを作成する場合は、権限管理を容易にするために RAM ユーザーをグループ化できます。たとえば、同じ RAM ユーザーグループ内の RAM ユーザーに同じ権限を付与できます。以下の点にご注意ください。

    • 最小権限の原則に基づいて RAM ユーザーグループに権限を付与します。

    • RAM ユーザーの職務が変更された場合は、RAM ユーザーグループから RAM ユーザーを削除します。

    • RAM ユーザーグループが権限を必要としなくなった場合は、RAM ユーザーグループから権限を取り消します。

    関連操作

    RAM ロール

    RAM ロールは、ポリシーをアタッチできる仮想 ID です。RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な ID 資格情報がありません。RAM ロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。RAM ロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはセキュリティトークンサービス (STS) トークンを取得できます。その後、信頼できるエンティティは STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。

    以下の点にご注意ください。

    • RAM ユーザーの作成後に、RAM ユーザーの信頼できるエンティティを頻繁に変更しないでください。RAM ユーザーの信頼できるエンティティを変更すると、元の委任されたエンティティに必要な権限がない可能性があり、アプリケーションの機能に影響します。信頼できるエンティティを追加すると、権限のエスカレーションによりセキュリティリスクが発生する可能性があります。RAM ユーザーに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与されると、信頼できるエンティティは AssumeRole オペレーションを呼び出して STS トークンを取得し、それを使用して RAM ロールを引き受けることができます。詳細については、「AssumeRole」をご参照ください。STS トークンは、限られた期間だけ有効です。セキュリティリスクを防ぐために、有効期間を適切な値に設定することをお勧めします。

      説明

      STS トークンの最大有効期間は、RAM ロールに指定された最大セッション期間です。セキュリティリスクを軽減するために、RAM ロールに適切なセッション期間を指定することをお勧めします。

    • RAM ロールに対して SSO を有効にして、RAM ロールが企業の ID 管理システムから Alibaba Cloud 管理コンソールにログインして Alibaba Cloud リソースにアクセスできるようにします。

    関連操作

    参照