すべてのプロダクト
Search

このプロダクト

    Function Compute:Alibaba Cloud アカウントを使用して RAM ユーザーに権限を付与する

    ドキュメントセンター

    Function Compute:Alibaba Cloud アカウントを使用して RAM ユーザーに権限を付与する

    最終更新日:Apr 30, 2025

    Alibaba Cloud アカウントの AccessKey ペアを使用すると、セキュリティリスクが発生します。これを解決するには、Alibaba Cloud アカウントとは異なる権限を持つ Resource Access Management (RAM) ユーザーを作成します。このアプローチにより、Alibaba Cloud アカウントの AccessKey ペアを直接使用することによるリスクを効果的に軽減できます。 RAM ユーザーに権限を付与した後、指定された権限を持つ RAM ユーザーのみが Function Compute コンソールのリソースにアクセスまたは管理できるようにすることができます。このトピックでは、Alibaba Cloud アカウントを使用して RAM ユーザーを作成および承認する方法、および承認された RAM ユーザーのリソースを管理する方法について説明します。

    シナリオ

    企業 A は Function Compute を有効にしており、従業員にサービスや関数の作成と削除など、Function Compute リソースを管理させたいと考えています。異なる役割を担う従業員には、異なる権限が必要です。企業 A には次の要件があります。

    • セキュリティ上の理由から、企業 A は Alibaba Cloud アカウントの AccessKey ペアを従業員に開示したくありません。企業 A は、従業員ごとに異なる RAM ユーザーを作成し、RAM ユーザーに異なる権限を付与することを好みます。

    • 権限が付与された RAM ユーザーのみがリソースを管理できます。リソースの使用量とコストは、RAM ユーザーごとに個別に計算されません。すべての費用は、企業 A の Alibaba Cloud アカウントに請求されます。

    • 企業 A は、いつでも RAM ユーザーの権限を取り消し、RAM ユーザーを削除できます。

    ステップ 1: 企業 A の Alibaba Cloud アカウントを使用して、従業員の RAM ユーザーを作成する

    手順

    1. 管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。image

    4. [ユーザーアカウント情報] セクションの [ユーザーの作成] ページで、次のパラメーターを構成します。

      • ログイン名: ログイン名は最大 64 文字で、文字、数字、ピリオド(.)、ハイフン (-)、およびアンダースコア (_) を使用できます。

      • 表示名: 表示名は最大 128 文字です。

      • タグ: edit アイコンをクリックし、タグキーとタグ値を入力します。 RAM ユーザーに 1 つ以上のタグを追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。

      説明

      [ユーザーの追加] をクリックすると、複数の RAM ユーザーを一度に作成できます。

    5. [アクセスモード] セクションで、アクセスモードを選択し、必要なパラメーターを設定します。

      Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーには 1 つのアクセスモードのみを選択することをお勧めします。このようにして、個人の RAM ユーザーはプログラムの RAM ユーザーから分離されます。

      • コンソールアクセス

        RAM ユーザーが個人を表す場合は、RAM ユーザーにコンソールアクセスを選択することをお勧めします。このようにして、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメーターを設定する必要があります。

        • コンソールパスワードの設定: [デフォルトパスワードの自動再生成] または [カスタムパスワードのリセット] を選択できます。[カスタムパスワードのリセット] を選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。

        • パスワードのリセット: 次回のログイン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。

        • MAF の有効化: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。 MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。

      • 永続 AccessKey を使用してアクセスする

        RAM ユーザーがプログラムを表す場合は、RAM ユーザーに ファイアウォール規則:AccessKey ペアを取得する を選択できます。このようにして、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。 OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「」をご参照ください。

        重要

        • RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。

        • AccessKey ペアは、アプリケーションアクセスのための永続的な認証情報です。 Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、セキュリティトークンサービス (STS) トークンを使用することをお勧めします。詳細については、「アクセス認証情報を使用して API 操作を呼び出すためのベストプラクティス」をご参照ください。

    6. [OK] をクリックします。

    7. プロンプトに従ってセキュリティ検証を完了します。

    ステップ 2: RAM ユーザーに権限を付与する

    1. RAM 管理者として RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、必要な RAM ユーザーを見つけ、[権限の追加][アクション] 列の をクリックします。

      image

      複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。

    4. [権限の付与] パネルで、RAM ユーザーに権限を付与します。

      1. リソーススコープ パラメーターを設定します。

      2. プリンシパルパラメーターを設定します。

        プリンシパルとは、権限を付与する RAM ユーザーのことです。現在の RAM ユーザーが自動的に選択されます。

      3. ポリシーパラメーターを設定します。

        ポリシーには、一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。

        • システムポリシー: Alibaba Cloud によって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、「RAM で動作するサービス」をご参照ください。

          説明

          システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーを自動的に識別します。高リスクのポリシーをアタッチして、不要な権限を付与しないことをお勧めします。

        • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーを作成する」をご参照ください。

      4. [権限の付与] をクリックします。

    5. [閉じる] をクリックします。

    説明

    上記のポリシーは、システムポリシーまたはカスタムポリシーです。詳細については、「ポリシーとサンプルポリシー」をご参照ください。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーを作成する」をご参照ください。

    次のステップ

    Alibaba Cloud アカウントを使用して RAM ユーザーが作成された後、企業 A は RAM ユーザーのユーザー名とパスワード、または AccessKey ペアを従業員に割り当てることができます。その後、従業員は RAM ユーザーを使用して Alibaba Cloud コンソールにログインしたり、API 操作を呼び出して Function Compute にアクセスしたりできます。