すべてのプロダクト
Search

このプロダクト

    Elastic Compute Service:リソースグループを使用した水平方向の権限管理

    ドキュメントセンター

    Elastic Compute Service:リソースグループを使用した水平方向の権限管理

    最終更新日:Nov 02, 2025

    異なる部門の管理者が Elastic Compute Service (ECS) リソースを管理する必要がある場合、リソースグループを使用して、ECS インスタンスと、ディスク、イメージ、セキュリティグループ、キー、vSwitch などの関連リソースをグループ化できます。これにより、管理者が互いのリソースを表示または操作するのを防ぎ、水平方向の権限管理を実装します。

    セキュリティリスク

    デフォルトの権限モデルでは、AliyunECSFullAccess などの ECS 管理権限を付与された Resource Access Management (RAM) ユーザーは、アカウント内の すべての ECS インスタンスおよび関連リソースに対する完全な操作権限を持ちます。このフラットな権限付与パターンは、ビジネスが拡大し、チームが成長するにつれて、重大なセキュリティリスクをもたらします:

    • 権限の乱用と操作ミスのリスク: 部門 A の管理者は、部門 B に属するコア本番サーバーを簡単に表示、変更、さらには削除できてしまいます。この操作が悪意によるものか偶発的なものかにかかわらず、その結果は悲惨なものになる可能性があります。

    • 最小権限の原則の欠如: RAM ユーザーは、職務に必要な権限をはるかに超える権限を持っています。これは、最小権限の原則に直接違反します。この原則は、多層防御戦略のコアコンポーネントです。これにより、いかなるユーザー、プログラム、またはプロセスも、そのタスクを実行するために必要な最小限の権限のみを持つことが保証されます。

    • 監査とコンプライアンスの課題: すべての操作が混在している場合、どの部門またはプロジェクトがリソースに変更を加えたかを明確に追跡および監査することは困難です。これにより、コンプライアンス要件を満たす上で大きな課題が生じます。

    ベストプラクティス

    リソースグループと ID ベースの RAM ポリシーを使用して、Alibaba Cloud アカウント内に論理的な管理境界を構築できます。次のシナリオでは、DepartmentADepartmentB の 2 つの部門を例に、安全な水平方向の権限管理システムを構築する方法を示します。

    シナリオ: 部門 A と部門 B のために、それぞれの部門のリソースのみを管理できる個別の ECS 管理者を作成します。

    1. リソースグループの作成

      1. リソースグループの管理権限を持つ Alibaba Cloud アカウントまたは RAM ID (RAM ユーザーまたは RAM ロール) を使用してログインします。

      2. リソースグループコンソールに移動します。[リソースグループの作成] をクリックし、必要な情報を入力してから [OK] をクリックします。

        • リソースグループ識別子: DepartmentA を入力します。

        • リソースグループ名: Department A Resource Group を入力します。

      3. 同じ手順を繰り返して、ID が DepartmentB のリソースグループを作成します。

    2. RAM ユーザーの作成

      1. RAM コンソールに移動します。左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

      2. [ユーザーの作成] をクリックし、プロンプトに従って情報を入力します。

        1. ログイン名/表示名: AdminA を入力します。

        2. アクセスモード: [コンソールアクセス] を選択し、パスワードポリシーを設定します。

      3. [OK] をクリックし、セキュリティ認証を完了します。

      4. 同じ手順を繰り返して、ユーザー AdminB を作成します。

    3. リソースグループへの権限付与

      1. リソースグループコンソールページに戻ります。

      2. DepartmentA リソースグループを見つけ、[操作] 列の [権限の管理] をクリックします。

      3. [権限の付与] をクリックします。

        1. リソース範囲: デフォルトは現在のリソースグループ DepartmentA です。

        2. プリンシパル: [RAM ユーザー] を選択し、リストから先ほど作成した AdminA ユーザーを選択します。

        3. ポリシー: 検索ボックスに ecs と入力します。AliyunECSFullAccess および AliyunBSSFullAccess システムポリシーを選択します。

        4. [OK] をクリックします。

      4. 同じ手順を繰り返して、AdminB ユーザーに DepartmentB リソースグループに対する権限を付与します。

    4. 隔離の検証

      • 現在のアカウントからログアウトします。次に、AdminAAdminB の資格情報を使用して、それぞれ Alibaba Cloud 管理コンソールにログインします。

      • AdminA としてログインした後: カスタムインスタンスを作成します。リソースグループには、Department A Resource Group を選択します。

        ECS コンソール - インスタンスページに移動します。DepartmentA リソースグループで作成された ECS インスタンスのみが表示されます。

      • AdminB としてログインした後: 同様ですが完全に隔離された動作が確認できます。すべての操作は DepartmentB リソースグループに制限されます。