Resource Access Management (RAM) の RAM ユーザー機能を使用すると、権限を分割し、必要に応じて RAM ユーザーに異なる権限を付与し、Alibaba Cloud アカウントキーの漏洩によるセキュリティリスクを回避できます。
シナリオ
次の例は、RAM を使用してアクセス制御を実装する方法を示しています。
RAM ユーザーを使用して権限を管理する
企業 A は、プロジェクト (Project-X) のために、ECS インスタンス、RDS インスタンス、SLB インスタンス、OSS バケットなど、さまざまな Alibaba Cloud 製品を購入しました。複数の従業員がこれらのクラウド リソースに対して操作を実行する必要があります。従業員ごとに、職務を遂行するために必要な権限が異なります。企業 A には次の要件があります。
- セキュリティまたは信頼上の理由から、A はクラウド アカウントキーを従業員に直接開示したくなく、従業員に独立したアカウントを作成したいと考えています。
- RAM ユーザーは、対応する権限が付与された後にのみ、リソースに対する操作を実行できます。A はいつでもユーザー アカウントの権限を取り消したり、作成したユーザー アカウントをいつでも削除したりできます。
- ユーザー アカウントの個別の計測と課金を行う必要はなく、すべての費用は A が負担します。
上記の要件を満たすために、RAM の承認管理機能を使用して、ユーザーの分散化とリソースの一元管理を実装できます。
RAM ロールを使用してアカウント間でリソースにアクセスする
Alibaba Cloud アカウント A と Alibaba Cloud アカウント B は異なる企業を表しています。A は、ECS インスタンス、RDS インスタンス、SLB インスタンス、OSS バケットなど、ビジネスを実行するためのさまざまなクラウド リソースを購入します。
- 企業 A はビジネス システムに集中したいと考えており、クラウド リソースの O&M、監視、管理などのタスクを企業 B に委任します。
- 企業 B は、A のリソース アクセス権限を B の 1 人以上の従業員にさらに割り当てることができ、B はリソースに対する従業員の操作権限を細かく制御できます。
- A と B の間の O&M 関係が終了した場合、A はいつでも B への承認を取り消すことができます。
上記の要件を満たすために、RAM ロールを使用してアカウント間の承認とリソース アクセス制御を実装できます。
ポリシー
次の表に、ARMS でサポートされているシステム ポリシーを示します。
権限ポリシー | タイプ | 説明 |
AliyunARMSFullAccess | システム | ARMS のフルアクセス権限 |
AliyunARMSReadOnlyAccess | システム | ARMS の読み取り専用権限 重要 特定のリソース グループにすべての ARMS 機能に対する読み取り専用権限を付与するには、AliyunARMSReadOnlyAccess ポリシーをリソース グループにアタッチし、ReadTraceApp 権限を付与する必要があります。そうしないと、ARMS は認証済みリソース グループに属するアプリケーション リストを表示できません。 |