Elastic Compute Service:Alibaba Cloud アカウントの使用を避け、ロールに基づいて RAM ユーザーに異なる権限を付与する

Alibaba Cloud アカウントの保護を強化する

1. MFA を有効にする: Alibaba Cloud アカウントに 仮想 MFA デバイスをアタッチまたはデタッチします。これにより、パスワード認証に加えて、モバイルトークンやハードウェアで保護されたキーなどの動的検証コードが追加され、パスワードが漏洩した場合の不正アクセスを防ぎます。

2. Alibaba Cloud アカウントのログイン動作を厳密に管理する:

   • リスクガバナンスを有効にする: Alibaba Cloud アカウントのログイン頻度を制限します。RAM 管理者の作成やサービスの有効化など、必要な場合にのみログインしてください。日常の操作でのログインは避けてください。

   • ログインマスクを設定またはパージする: 特定の IP アドレスのみがコンソールにアクセスできるようにします。

   • アカウントのセッション期間を設定する: 自動サインアウト時間をデフォルトの 48 時間から 4 時間以下に変更します。

3. Alibaba Cloud アカウントの AccessKey を無効にする: Alibaba Cloud アカウントの AccessKey を使用しないでください。代わりに、RAM ユーザーを作成し、最小権限の原則に基づいて権限を付与します。

4. 定期的な監査と監視を実行する: ActionTrail を使用して、Alibaba Cloud アカウントのログインイベントを監視し、定期的に異常な動作を確認します。

5. 日常の操作には Resource Access Management (RAM) ユーザーを使用する: アカウント管理者として RAM ユーザーを作成します。さまざまなロールに対して個別の RAM ユーザーを作成し、必要に応じて権限を付与します。

RAM ユーザーを計画し、アクセス制御ポリシーを設定する

詳細な権限管理と最小権限の原則を実装するために、職務に基づいてアカウント、ロール、および権限を作成できます。次のセクションでは、一般的なエンタープライズシナリオで職務に基づいてアカウントを作成し、ロールをアタッチする方法の例を示します:

1. アカウント管理者

   このアカウントは、RAM ユーザーとロールの作成、およびアクセス権限の定義と割り当てにのみ使用されます。このアカウントには AliyunRAMFullAccess 権限を付与できます。このアカウントは他の Alibaba Cloud サービスのリソースを直接管理することはできませんが、特権アカウントを作成できます。したがって、これは非常に機密性の高いアカウントであり、次のプラクティスに従って保護する必要があります:

   • アカウントの AccessKey を作成しないでください。

   • 同じ権限を持つ RAM ロールを作成しないでください。

   • MFA を有効にし、ログイン元の IP アドレスを制限します。

2. リソース管理者

   このアカウントを使用して、ECS インスタンス、VPC、vSwitch、NIC、ディスク、セキュリティグループ、スナップショット、イメージなどのリソースを作成および管理できます。AliyunECSFullAccess、AliyunVPCFullAccess、および AliyunEIPFullAccess ポリシーを付与できます。RAM ロールを ECS インスタンスにアタッチするには、sts:AssumeRole 権限も付与する必要があります。

   提案: 多くのクラウドリソースがある場合は、リソースグループを使用してリソースを分離します。各リソースグループに個別の ECS リソース管理者アカウントを作成して、権限を水平に分離します。

3. O&M エンジニア

   このアカウントは、ECS インスタンスにログインして操作するユーザー (たとえば、インスタンスの起動と停止) に割り当てられます。リソース、NIC、またはディスクを変更する権限は付与されません。これらのユーザーに対して RAM 権限をカスタマイズできます:

   {
     "Version": "1",
     "Statement": [
       // 1. リソースステータスを表示するための読み取り専用権限
       {
         "Effect": "Allow",
         "Action": [
           // ECS リソースの表示
           "ecs:DescribeInstances",        // インスタンスステータスの表示
           "ecs:DescribeInstanceStatus",   // インスタンスステータス情報のクエリ
           "ecs:DescribeNetworkInterfaces", // NIC ステータスの表示
           "ecs:DescribeDisks",            // ディスクステータスの表示 (ドキュメントのコンテキストから推測)
           "ecs:DescribeSecurityGroups",   // セキュリティグループステータスの表示
           "ecs:DescribeSecurityGroupReferences", // 承認済みセキュリティグループのクエリ
           // VPC と vSwitch の表示
           "vpc:DescribeVpcs",             // VPC ステータスのクエリ
           "vpc:DescribeVSwitches",        // vSwitch ステータスのクエリ
           "vpc:DescribeVSwitchAttributes" // 詳細な vSwitch 構成のクエリ
         ],
         "Resource": "*"  // すべてのリソースへのアクセスを許可
       },
       // 2. Workbench 権限 (ログインと読み取り)
       {
         "Effect": "Allow",
         "Action": [
           "ecs-workbench:LoginInstance",  // Workbench を使用してインスタンスにログインする権限
           "ecs:DescribeTerminalSessions"  // Workbench セッションレコードの表示
         ],
         "Resource": "*"
       },
       // 3. クラウドアシスタント権限 (読み取り、ログイン、コマンド実行)
       {
         "Effect": "Allow",
         "Action": [
           // クラウドアシスタントの読み取り権限
           "ecs:DescribeCommands",         // コマンドリストの表示
           "ecs:DescribeInvocations",       // コマンド実行レコードの表示
           "ecs:DescribeInvocationResults", // コマンド実行結果の表示
           "ecs:DescribeCloudAssistantStatus", // クラウドアシスタントのステータスのクエリ
           // クラウドアシスタントを使用したコマンド実行権限
           "ecs:InvokeCommand",             // コマンドの実行
           "ecs:RunCommand"                 // コマンドの即時実行
         ],
         "Resource": "*",
         // コマンドの実行を一般ユーザーに制限 (セキュリティのベストプラクティス)
         "Condition": {
           "StringNotEqualsIgnoreCase": {
             "ecs:CommandRunAs": ["system", "root"]  // root または system アカウントの使用を禁止
           }
         }
       }
     ]
   }

   注: 上記のポリシーでは、"Resource": "*" はすべてのインスタンスを管理できることを示します。リスクを軽減するため、

   次のことをお勧めします:

   • リソースグループまたはタグを使用して、操作の範囲を制限します。

   • ワイルドカード文字の代わりに、より詳細なリソース ARN を使用して、必要に応じて権限を付与します。

4. アプリケーションロール

   アプリケーションは、OSS や Simple Log Service (SLS) などの Alibaba Cloud サービスにアクセスする必要がある場合もあります。アプリケーション専用のアカウントまたはロールを作成する必要があります。ユーザーとアプリケーション間、または異なるアプリケーション間でアカウントを共有しないでください:

   • アプリケーションのアカウントがコンソールにログインすることを禁止します。

   • アプリケーションが ECS (コンテナーサービスを含む) にデプロイされている場合は、AccessKey を使用しないでください。セキュリティを向上させるために、インスタンスに RAM ロールをアタッチすることをお勧めします。

CloudSSO を使用してアカウントを認証する

次のシナリオに遭遇した場合は、CloudSSO を使用して、安全で一元化された ID 管理とアクセス制御を実装することをお勧めします。

• 複数の従業員に対して同じ権限を持つ RAM アカウントを作成する必要があります。

• 複数の人が 1 つの RAM アカウントを共有しています。

• 従業員が AccessKey やログインパスワードなどのクラウドプラットフォームの認証情報を漏洩する懸念があります。

CloudSSO (Cloud Single Sign-On) は、Alibaba Cloud がリソースディレクトリ (RD) に基づいて提供するマルチアカウントの統合 ID 管理およびアクセス制御サービスです。これにより、ユーザーは 1 組の認証情報で一度ログインするだけで、ユーザー名とパスワードを再入力することなく、複数のクラウドアプリケーションやサービスにアクセスできます。CloudSSO を使用して、企業内で Alibaba Cloud を使用するユーザーを一元管理できます。企業の ID 管理システムと Alibaba Cloud の間でシングルサインオン (SSO) を設定すると、RD 内のアカウントに対するすべてのユーザーのアクセス権限を一元的に設定できます。

• クラウド認証情報が不要: 従業員は Alibaba Cloud のログインパスワードや AccessKey を知る必要がなくなります。これにより、認証情報の漏洩リスクが軽減されます。

• 統合 ID 認証: ユーザーは、社内の企業アカウント (会社のメールボックスや Active Directory (AD) アカウントなど) とパスワードでログインし、シームレスな統合エクスペリエンスを実現します。

• 一元化された権限管理: アクセス構成 (Permission Sets) を使用して、ユーザーまたはユーザーグループにロール権限を一元的に割り当てます。詳細な制御がサポートされています。

• 標準プロトコルのサポート: SAML 2.0 プロトコルに基づいてエンタープライズ IdP と統合し、認証のセキュリティを確保します。

詳細については、「CloudSSO の使用を開始する」をご参照ください。

Alibaba Cloud アカウントによって実行された操作の確認