すべてのプロダクト
Search
ドキュメントセンター

Elastic Compute Service:リソースグループを使用した水平方向の権限管理

最終更新日:May 16, 2026

Elastic Compute Service (ECS) インスタンスと関連リソースを部門ごとにグループ化し、チーム間のアクセスを分離します。

セキュリティリスク

デフォルトでは、AliyunECSFullAccess のような ECS の管理権限を付与された RAM ユーザーは、アカウント内の すべて の ECS インスタンスと関連リソースを操作できます。このようなフラットな権限付与は、チームが拡大するにつれて、次のようなセキュリティリスクをもたらします。

  • 権限の乱用と操作ミス:A 部門の管理者は、意図的かどうかにかかわらず、B 部門が所有する本番サーバーを表示、変更、または削除できてしまいます。

  • 最小権限の原則への違反:RAM ユーザーが職務要件をはるかに超える権限を保持することになり、これは多層防御の中核となる考え方である最小権限の原則に違反します。この原則は、すべてのユーザー、プログラム、またはプロセスに、業務に必要な最小限のアクセス権のみを付与することを定めています。

  • 監査とコンプライアンスの課題:すべての操作が混在していると、どの部門がどのリソースを変更したかの追跡が困難になり、コンプライアンスの達成も難しくなります。

ベストプラクティス

リソースグループと ID ベースの RAM ポリシーを使用して、Alibaba Cloud アカウント内に論理的な管理境界を構築します。次のシナリオでは、DepartmentADepartmentB の 2 つの部門を用いて、水平方向の権限分離を実証します。

シナリオ:A 部門と B 部門にそれぞれ ECS 管理者を作成し、各管理者の権限を自部門のリソースに限定します。

  1. リソースグループの作成

    1. Alibaba Cloud アカウント、またはリソースグループの管理権限を持つ RAM ID でログインします。

    2. リソースグループコンソールに移動します。リソースグループの作成 をクリックし、必要な情報を入力して OK をクリックします。

      • リソースグループ識別子DepartmentA と入力します。

      • リソースグループ名Department A Resource Group と入力します。

    3. 同様の手順で、ID が DepartmentB のリソースグループを作成します。

  2. RAM ユーザーの作成

    1. RAM コンソールに移動します。左側メニューで、[アイデンティティ] > ユーザー の順に選択します。

    2. [ユーザーの作成] をクリックし、画面の指示に従って情報を入力します。

      1. ログイン名/表示名AdminA と入力します。

      2. アクセスモード[コンソールアクセス] を選択し、パスワードポリシーを設定します。

    3. OK をクリックし、セキュリティ認証を完了します。

    4. 同様の手順で、ユーザー AdminB を作成します。

  3. リソースグループへの権限付与

    1. リソースグループコンソールに戻ります。

    2. DepartmentA リソースグループを見つけ、[操作] 列の [権限の管理] をクリックします。

    3. [権限の付与] をクリックします。

      1. リソーススコープ:現在のリソースグループである DepartmentA がデフォルトで選択されます。

      2. プリンシパルRAM ユーザー を選択し、AdminA を選択します。

      3. ポリシー:「ecs」と検索し、AliyunECSFullAccessAliyunBSSFullAccess を選択します。

      4. OK をクリックします。

    4. 同様の手順で、AdminBDepartmentB リソースグループの権限を付与します。

  4. 分離の検証

    • 一度ログアウトし、AdminAAdminB として、それぞれ Alibaba Cloud コンソールにログインします。

    • AdminA としてログイン後カスタムインスタンスを作成します。リソースグループとして [Department A Resource Group] を選択します。

      ECS コンソール - インスタンスページに移動します。DepartmentA リソースグループ内の ECS インスタンスのみが表示されます。

    • AdminB としてログイン後:同様に、リソースは完全に分離されます。すべての操作は DepartmentB リソースグループに限定されます。