すべてのプロダクト
Search

このプロダクト

    Elastic IP Address:ID管理

    ドキュメントセンター

    Elastic IP Address:ID管理

    最終更新日:Sep 19, 2024

    Alibaba Cloudアカウントとクラウドリソースのセキュリティを確保するため、elastic IPアドレス (EIP) へのアクセスにAlibaba cloudアカウントを使用しないことを推奨します。 RAMロールまたはRAMユーザーを使用してEIPにアクセスすることを推奨します。

    RAMユーザー

    RAMユーザーは、管理者権限を持つAlibaba Cloudアカウント、RAMユーザー、またはRAMロールによって作成されます。 RAMユーザーは、RAMユーザーが必要な権限を取得した場合にのみ、コンソールへのログインまたはAlibaba Cloudアカウント内のAlibaba Cloudリソースへのアクセスが許可されます。 次の予防措置を講じることをお勧めします。

    • Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理者権限を付与します。 次に、RAMユーザーを使用して、他のRAMユーザーを作成および管理できます。

    • 個人用のRAMユーザーとプログラム用のRAMユーザーを分離します。

      RAMコンソールまたはOpenAPI Explorerを使用して、RAMユーザーを作成できます。 RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。 OpenAPI Explorerを使用する場合は、Access Keyペアを指定する必要があります。 ヒューマンエラーの場合、同じタイプのシナリオに対して1つのメソッドのみを指定します。 RAMコンソールを使用する場合は、セキュリティを強化するために多要素認証を有効にすることを推奨します。

    • 最小権限の原則に基づいて、RAMユーザーに権限を付与します。

      最小特権権限とは、操作の実行に必要な最小限の権限を指し、他の権限は除きます。 最小権限権限は、データのセキュリティを向上させ、権限の悪用を防ぎます。

    • AccessKey IDまたはAccessKey secretをコードに埋め込まないでください。 そうしないと、AccessKeyペアが漏洩し、アカウント内のすべてのリソースのセキュリティリスクが高まります。

    • RAMユーザーのシングルサインオン (SSO) を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。

    関連する API

    RAMユーザーグループ

    Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合、それらを異なるグループに分類して、権限管理を容易にすることができます。 たとえば、同じRAMユーザーグループ内のRAMユーザーに同じ権限を付与できます。 次の予防措置を講じることをお勧めします。

    • 最小権限の原則に基づいて、RAMユーザーグループに権限を付与します。

    • RAMユーザーの作業義務が変更された場合、RAMユーザーグループからRAMユーザーを削除します。

    • RAMユーザーがRAMユーザーグループの権限を必要としなくなった場合は、RAMユーザーグループからRAMユーザーを削除します。

    関連する API

    RAMロール

    RAMロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。

    次の予防措置を講じることをお勧めします。

    • 作成後、RAMユーザーの信頼できるエンティティを頻繁に変更しないでください。 RAMユーザーの信頼できるエンティティを変更すると、権限が失われ、サービスの操作に影響を与える可能性があります。 信頼できるエンティティを追加すると、特権のエスカレーションによりセキュリティリスクが発生する可能性があります。 RAMユーザーに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与された後、信頼できるエンティティはAssumeRole APIを呼び出してSTSトークンを取得し、これを使用してRAMロールを引き受けることができます。 STSトークンは、限られた期間のみ有効です。 セキュリティ上のリスクがある場合、有効期間を適切な値に設定することを推奨します。

      説明

      STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。 セキュリティリスクを防ぐために、RAMロールに適切なセッション期間を指定することを推奨します。

    • SSO for RAMロールを有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。

    関連する API

    関連ドキュメント