Resource Access Management (RAM) ユーザーを使用することで、RAMユーザーとAlibaba Cloudアカウントに異なる権限を付与し、Alibaba CloudアカウントのAccessKeyペアの公開によるセキュリティリスクを回避できます。 RAMユーザーに権限を付与すると、指定された権限を持つRAMユーザーのみがFunction Computeコンソールのリソースへのアクセスまたは管理を許可できます。 このトピックでは、Alibaba Cloudアカウントを使用してRAMユーザーを作成および権限付与する方法、および権限付与されたRAMユーザーがリソースを管理する方法について説明します。
シナリオ
エンタープライズAはFunction Computeを有効にしており、従業員は関数の作成や削除などのFunction Computeリソースに対する操作を実行する必要があります。 異なる役割を担う従業員には、異なる権限が必要です。 エンタープライズAには次の要件があります。
セキュリティ上の理由から、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。 エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与することを好みます。
権限が付与されたRAMユーザーのみがリソースを管理できます。 リソース使用量とコストは、RAMユーザーごとに個別に計算されません。 すべての費用は、エンタープライズAのAlibaba Cloudアカウントに請求されます。
エンタープライズAは、RAMユーザーの権限を取り消し、作成したRAMユーザーをいつでも削除できます。
手順1: Enterprise AのAlibaba Cloudアカウントを使用して従業員用のRAMユーザーを作成する
手順
にログインします。RAMコンソールAlibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用します。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。
ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。
表示名: 表示名の長さは最大128文字です。
タグ:
アイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。
説明ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。
アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。
コンソールアクセス
RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。 これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。 コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。
コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。 パスワードは複雑さの要件を満たす必要があります。 詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。
パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。
MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドする必要があります。 詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。
永続的なAccessKeyを使用したアクセス
RAMユーザーがプログラムを表している場合は、RAMユーザーに対して [永続的なAccessKeyを使用してアクセスする] を選択できます。 これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。 詳細については、「AccessKeyペアの取得」をご参照ください。
重要RAMユーザーのAccessKeyシークレットは、AccessKeyペアを作成した場合にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 したがって、AccessKey secret はバックアップしておく必要があります。
AccessKeyペアは、アプリケーションアクセス用の永続的な資格情報です。 Alibaba CloudアカウントのAccessKeyペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。 資格情報のリークリスクを防ぐために、Security Token Service (STS) トークンの使用を推奨します。 詳細については、「アクセス資格情報を使用してAPI操作を呼び出すためのベストプラクティス」をご参照ください。
OKをクリックします。
プロンプトに従って完全なセキュリティ検証。
ステップ2: RAMユーザーに権限を付与する
RAMコンソールRAM管理者として にログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
権限付与パネルで、RAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
Policyパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
クリック閉じる.
上記のポリシーは、システムポリシーまたはカスタムポリシーです。 詳細については、「ポリシーとサンプルポリシー」をご参照ください。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
次のステップ
Alibaba Cloudアカウントを使用してRAMユーザーを作成した後、エンタープライズaはRAMユーザーのユーザー名とパスワードまたはAccessKeyペアを従業員に割り当てることができます。 従業員はAlibaba Cloud管理コンソールにログインするか、RAMユーザーとしてAPI操作を呼び出すことができます。
Alibaba Cloud管理コンソールにログインする
詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
API操作の呼び出し
RAMユーザーのAccessKey IDとAccessKey secretをコードで使用して、API操作を呼び出し、Function Computeにアクセスできます。