Alibaba Cloud では、Resource Access Management (RAM) およびセキュリティトークンサービス (STS) を提供しており、Intelligent Media Management へのアクセス制御を支援します。RAM ユーザーに長期的な権限を割り当てるか、ID に対して一時的なアクセスを許可できます。RAM と STS を使用することで、クラウドリソース管理の柔軟性とセキュリティが向上します。
背景情報
RAM および STS は、アカウントの AccessKey を公開せずに Alibaba Cloud リソースへの安全なアクセスを許可するというコア課題に対応します。Alibaba Cloud アカウントの AccessKey が漏洩すると、不正ユーザーがすべてのリソースを操作し、機密情報を盗む可能性があるため、重大なセキュリティリスクとなります。
-
RAM
-
Resource Access Management (RAM) は、ユーザー ID およびそのリソースへのアクセス権限を管理する Alibaba Cloud サービスです。RAM を使用すると、単一の Alibaba Cloud アカウントの下で複数の ID を作成・管理し、それぞれに特定の権限を割り当てることができます。これにより、誰がどのリソースにアクセスできるかを制御できます。詳細については、「Resource Access Management とは」をご参照ください。
-
RAM は長期的な権限制御を提供します。複数の RAM ユーザーを作成し、それぞれに異なる権限を割り当てることができます。この方法により、RAM ユーザーの AccessKey が漏洩しても、セキュリティリスクは限定的であり、アカウント全体には影響しません。RAM ユーザーの認証情報は通常長期的に使用されるため、AccessKey のセキュリティを確保する必要があります。
-
-
STS
-
STS を使用すると、RAM ユーザーや RAM ロールなどの許可された ID が一時的なアクセス認証情報を取得できます。これらの認証情報には、カスタムの有効期限と限定された権限セットが設定されています。詳細については、「STS とは」をご参照ください。
-
長期的な制御を提供する RAM とは異なり、STS は一時的な権限付与を提供します。STS を使用すると、一時的な AccessKey およびセキュリティトークンを取得できます。これらの認証情報を一時ユーザーに提供して、Intelligent Media Management にアクセスさせることができます。STS によって付与される権限は通常より制限的であり、明確な有効期限が設定されています。これにより、認証情報が漏洩した場合のセキュリティリスクを大幅に低減できます。
-
RAM ユーザーの権限設定
データセキュリティの向上と詳細な権限制御のために、Intelligent Media Management へのアクセスには RAM ユーザーを使用してください。
-
RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
-
RAM ユーザーに権限を付与します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
-
RAM ユーザーが Intelligent Media Management を管理する必要がある場合(例:プロジェクトの作成)、
AliyunIMMFullAccessポリシーをアタッチしてください。 -
RAM ユーザーが Intelligent Media Management への読み取り専用アクセスのみ必要な場合(例:プロジェクトの表示)、
AliyunIMMReadOnlyAccessポリシーをアタッチしてください。
-
-
RAM ユーザーに対して多要素認証 (MFA) を有効化します。詳細については、「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。
一時ユーザーの権限設定
-
RAM ロールを作成し、権限を付与します。
-
信頼できるエンティティが偽装可能な RAM ロールを作成します。詳細については、「信頼できる Alibaba Cloud アカウント向けの RAM ロールの作成」をご参照ください。
-
カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
説明より詳細な制御を行うには、ポリシー内で権限をカスタマイズしてください。詳細については、「Intelligent Media Management のカスタムポリシー」をご参照ください。
-
RAM ロールに権限を付与します。詳細については、「RAM ロールへの権限付与」をご参照ください。
-
-
一時的なアクセスを許可します。
-
カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
-
RAM ユーザーにロールの偽装を許可します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
-
-
STS から一時的なアクセス認証情報を取得します。詳細については、「AssumeRole」をご参照ください。
-
一時的な認証情報を使用してデータの読み書きを行います。
各種プログラミング言語の SDK と一時的な認証情報を組み合わせて、Intelligent Media Management にアクセスできます。Java SDK の場合、次の例のように、STS から取得した AccessKeyId、AccessKeySecret、SecurityToken を渡して
IAcsClientオブジェクトを作成します。DefaultProfile profile = DefaultProfile.getProfile("cn-shanghai", stsAccessKeyId, stsAccessKeySecret, stsToken); IAcsClient client = new DefaultAcsClient(profile);
カスタム RAM ポリシー
詳細な権限制御のために、カスタム RAM ポリシーを使用できます。次の表は、RAM ポリシーの主な要素を示しています。
|
パラメーター |
説明 |
|
Effect |
アクションを許可するか拒否するかを指定します。有効な値:
|
|
Action |
Intelligent Media Management の API オペレーション。形式は |
|
Resource |
Intelligent Media Management には現在、Project のみ 1 種類のリソースがあり、形式は
|
権限ポリシーの詳細については、「カスタムポリシーの作成」をご参照ください。
ポリシーの例
フルアクセスの付与
次のポリシーは、ユーザーに Intelligent Media Management のすべての機能へのフルアクセスを付与します。
{
"Version": "1",
"Statement": [
{
"Action": "imm:*",
"Resource": "*",
"Effect": "Allow"
}
]
}
ワイルドカードを使用したアクセスの付与
RAM ポリシーは、バッチ認証のためにワイルドカード文字 * をサポートしています。
次のサンプルコードは、すべてのリージョンで imm-test-doc で始まるプロジェクトに対する読み取り操作の呼び出しをユーザーに許可します。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:List*", "imm:Get*"],
"Resource": "acs:imm:*:150910xxxxxxxxxx:project/imm-test-doc*"
}
],
"Version": "1"
}
特定のプロジェクトに対する特定の操作の付与
次のポリシーは、ユーザーに以下の権限を付与します。
-
ListProjects 操作の呼び出しを許可します。
-
CreateOfficeConversionTask 操作の呼び出しを許可しますが、中国 (上海) リージョンの imm-test-doc-proj プロジェクトに限定されます。
-
CreateFigureClusteringTask および CreateFigureClustersMergingTask 操作の呼び出しを許可しますが、中国 (上海) リージョンの imm-test-media-proj プロジェクトに限定されます。
{ "Statement": [ { "Effect": "Allow", "Action": ["imm:ListProjects"], "Resource": "*" }, { "Effect": "Allow", "Action": ["imm:CreateOfficeConversionTask"], "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj" }, { "Effect": "Allow", "Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"], "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj" } ], "Version": "1" }
特定のデータセットに対する特定の操作の付与
次のポリシーは、ユーザーに以下の権限を付与します。
-
ListDatasets 操作の呼び出しを許可します。
-
IndexFileMeta 操作の呼び出しを許可しますが、中国 (上海) リージョンの imm-test-doc-proj プロジェクト内の dataset1 データセットに限定されます。
-
CreateFigureClusteringTask および CreateFigureClustersMergingTask 操作の呼び出しを許可しますが、中国 (上海) リージョンの imm-test-media-proj プロジェクト内の dataset1 データセットに限定されます。
{
"Statement": [
{
"Effect": "Allow",
"Action": ["imm:ListDatasets"],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": ["imm:IndexFileMeta"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj/dataset/dataset1"
},
{
"Effect": "Allow",
"Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
"Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj/dataset/dataset1"
}
],
"Version": "1"
}