すべてのプロダクト
Search

このプロダクト

    E-MapReduce:ID管理

    ドキュメントセンター

    E-MapReduce:ID管理

    最終更新日:Apr 16, 2025

    Alibaba Cloudアカウントとクラウド・リソースのセキュリティを確保するために、必要な場合を除き、Alibaba Cloudアカウントを使用してE-MapReduce(EMR)にアクセスしないことをお勧めします。ほとんどの場合、RAMユーザーまたはRAMロールを使用してEMRにアクセスすることをお勧めします。

    RAMユーザー

    RAMユーザーは、Alibaba Cloudアカウント、または管理権限を持つRAMユーザーまたはRAMロールによって作成できます。RAMユーザーは、必要な権限を持っている場合にのみ、コンソールにログオンしたり、Alibaba Cloudアカウント内のAlibaba Cloudリソースにアクセスしたりできます。

    以下の点にご注意ください。

    • Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理権限を付与します。その後、RAMユーザーを使用して他のRAMユーザーを作成および管理できます。

    • 個人のRAMユーザーとプログラムのRAMユーザーを区別します。

      [RAMコンソール] または [API操作の呼び出し] を使用してRAMユーザーを作成できます。RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。API操作を呼び出す場合は、AccessKeyペアを入力する必要があります。人的ミスを防ぐために、個人のRAMユーザーとプログラムのRAMユーザーを区別することをお勧めします。RAMコンソールを使用する場合は、多要素認証(MFA)を有効にしてセキュリティを強化することをお勧めします。

    • 最小権限の原則に基づいてRAMユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限のことです。最小権限は、データ・セキュリティを向上させ、権限の乱用を防ぎます。

    • AccessKey IDまたはAccessKeyシークレットをコードに埋め込まないでください。埋め込むと、AccessKeyペアが漏洩し、アカウント内のすべてのリソースにセキュリティ・リスクが生じる可能性があります。Security Token Service(STS)トークンを使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。

    • RAMユーザーに対してシングル・サインオン(SSO)を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログオンしてアクセスできるようにします。

    関連操作

    RAMユーザーグループ

    Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合は、RAMユーザーをグループ化して権限管理を容易にすることができます。たとえば、同じRAMユーザーグループ内のRAMユーザーに同じ権限を付与できます。以下の点にご注意ください。

    • 最小権限の原則に基づいてRAMユーザーグループに権限を付与します。

    • RAMユーザーの職務が変更された場合は、RAMユーザーグループからRAMユーザーを削除します。

    • RAMユーザーグループが権限を必要としなくなった場合は、RAMユーザーグループから権限を取り消します。

    関連操作

    RAMロール

    RAMロールは、ポリシーをアタッチできる仮想IDです。RAMロールには、ログオン・パスワードやAccessKeyペアなどの永続的なID資格情報がありません。RAMロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service(STS)トークンを取得できます。その後、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。

    以下の点にご注意ください。

    • RAMロールの作成後、RAMロールの信頼できるエンティティを頻繁に変更しないでください。RAMロールの信頼できるエンティティを変更すると、権限が失われ、ビジネスに影響を与える可能性があります。信頼できるエンティティを追加すると、権限昇格によりセキュリティ・リスクが生じる可能性があります。変更をRAMロールに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与されると、信頼できるエンティティはAssumeRole操作を呼び出してSTSトークンを取得し、それを使用してRAMロールを引き受けることができます。詳細については、「AssumeRole」をご参照ください。STSトークンは、限られた期間だけ有効です。セキュリティ・リスクを軽減するために、有効期間を適切な値に設定することをお勧めします。

      説明

      STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。セキュリティ・リスクを軽減するために、RAMロールに適切なセッション期間を指定することをお勧めします。

    • RAMロールに対してSSOを有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログオンしてアクセスできるようにします。

    関連操作

    関連ドキュメント