Elastic Compute Service (ECS) インスタンスと関連リソースを部門ごとにグループ化し、チーム間のアクセスを分離します。
セキュリティリスク
デフォルトでは、AliyunECSFullAccess のような ECS の管理権限を付与された RAM ユーザーは、アカウント内の すべて の ECS インスタンスと関連リソースを操作できます。このようなフラットな権限付与は、チームが拡大するにつれて、次のようなセキュリティリスクをもたらします。
-
権限の乱用と操作ミス:A 部門の管理者は、意図的かどうかにかかわらず、B 部門が所有する本番サーバーを表示、変更、または削除できてしまいます。
-
最小権限の原則への違反:RAM ユーザーが職務要件をはるかに超える権限を保持することになり、これは多層防御の中核となる考え方である最小権限の原則に違反します。この原則は、すべてのユーザー、プログラム、またはプロセスに、業務に必要な最小限のアクセス権のみを付与することを定めています。
-
監査とコンプライアンスの課題:すべての操作が混在していると、どの部門がどのリソースを変更したかの追跡が困難になり、コンプライアンスの達成も難しくなります。
ベストプラクティス
リソースグループと ID ベースの RAM ポリシーを使用して、Alibaba Cloud アカウント内に論理的な管理境界を構築します。次のシナリオでは、DepartmentA と DepartmentB の 2 つの部門を用いて、水平方向の権限分離を実証します。
シナリオ:A 部門と B 部門にそれぞれ ECS 管理者を作成し、各管理者の権限を自部門のリソースに限定します。
-
リソースグループの作成
-
Alibaba Cloud アカウント、またはリソースグループの管理権限を持つ RAM ID でログインします。
-
リソースグループコンソールに移動します。リソースグループの作成 をクリックし、必要な情報を入力して OK をクリックします。
-
リソースグループ識別子:
DepartmentAと入力します。 -
リソースグループ名:
Department A Resource Groupと入力します。
-
-
同様の手順で、ID が
DepartmentBのリソースグループを作成します。
-
-
RAM ユーザーの作成
-
RAM コンソールに移動します。左側メニューで、 の順に選択します。
-
[ユーザーの作成] をクリックし、画面の指示に従って情報を入力します。
-
ログイン名/表示名:
AdminAと入力します。 -
アクセスモード:[コンソールアクセス] を選択し、パスワードポリシーを設定します。
-
-
OK をクリックし、セキュリティ認証を完了します。
-
同様の手順で、ユーザー
AdminBを作成します。
-
-
リソースグループへの権限付与
-
リソースグループコンソールに戻ります。
-
DepartmentAリソースグループを見つけ、[操作] 列の [権限の管理] をクリックします。 -
[権限の付与] をクリックします。
-
リソーススコープ:現在のリソースグループである
DepartmentAがデフォルトで選択されます。 -
プリンシパル:RAM ユーザー を選択し、
AdminAを選択します。 -
ポリシー:「
ecs」と検索し、AliyunECSFullAccessとAliyunBSSFullAccessを選択します。 -
OK をクリックします。
-
-
同様の手順で、
AdminBにDepartmentBリソースグループの権限を付与します。
-
-
分離の検証
-
一度ログアウトし、
AdminAとAdminBとして、それぞれ Alibaba Cloud コンソールにログインします。 -
AdminAとしてログイン後:カスタムインスタンスを作成します。リソースグループとして [Department A Resource Group] を選択します。ECS コンソール - インスタンスページに移動します。
DepartmentAリソースグループ内の ECS インスタンスのみが表示されます。 -
AdminBとしてログイン後:同様に、リソースは完全に分離されます。すべての操作はDepartmentBリソースグループに限定されます。
-