すべてのプロダクト
Search

このプロダクト

    IPv6 Gateway:アイデンティティ管理

    ドキュメントセンター

    IPv6 Gateway:アイデンティティ管理

    最終更新日:Jan 13, 2025

    Alibaba Cloud アカウントとクラウド リソースのセキュリティを確保するために、Alibaba Cloud アカウントを使用して IPv6 Gateway にアクセスしないことをお勧めします。RAM ユーザーと RAM ロールを含む RAM アイデンティティを使用して、IPv6 Gateway にアクセスすることをお勧めします。

    RAM ユーザー

    RAM ユーザーは、管理者権限を持つ Alibaba Cloud アカウント、RAM ユーザー、または RAM ロールによって作成されます。RAM ユーザーは、必要な権限を取得した場合にのみ、コンソールにログオンしたり、Alibaba Cloud アカウント内の Alibaba Cloud リソースにアクセスしたりできます。以下の予防措置を講じることをお勧めします。

    • Alibaba Cloud アカウントを使用して RAM ユーザーを作成し、RAM ユーザーに管理者権限を付与します。その後、RAM ユーザーを使用して他の RAM ユーザーを作成および管理できます。

    • 個人用の RAM ユーザーとプログラム用の RAM ユーザーを区別します。

      [RAM コンソール] または [openapi エクスプローラー] を使用して RAM ユーザーを作成できます。RAM コンソールを使用する場合は、Alibaba Cloud アカウントのユーザー名とパスワードを入力する必要があります。OpenAPI エクスプローラーを使用する場合は、アクセス キー ペアを入力する必要があります。人的ミスの場合に備えて、同じタイプのシナリオに対して 1 つの方法のみを指定してください。RAM コンソールを使用する場合は、多要素認証を有効にしてセキュリティを強化することをお勧めします。

    • 最小権限の原則に基づいて RAM ユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限を指し、他の権限は除外されます。最小権限はデータ セキュリティを向上させ、権限の乱用を防ぎます。

    • アクセス キー ID またはアクセス キー シークレットをコードに埋め込まないでください。埋め込むと、アクセス キー ペアが漏洩し、アカウント内のすべてのリソースのセキュリティ リスクが高まる可能性があります。

    • RAM ユーザーに対してシングル サインオン(SSO)を有効にして、RAM ユーザーが企業のアイデンティティ管理システムから Alibaba Cloud リソースにログオンしてアクセスできるようにします。

    関連操作

    RAM ユーザー グループ

    Alibaba Cloud アカウントを使用して複数の RAM ユーザーを作成する場合は、権限管理を容易にするために、それらを異なるグループに分類できます。たとえば、同じ RAM ユーザー グループ内の RAM ユーザーに同じ権限を付与できます。以下の予防措置を講じることをお勧めします。

    • 最小権限の原則に基づいて RAM ユーザー グループに権限を付与します。

    • RAM ユーザーの職務が変更された場合は、RAM ユーザー グループから RAM ユーザーを削除します。

    • RAM ユーザーが RAM ユーザー グループの権限を必要としなくなった場合は、RAM ユーザー グループから RAM ユーザーを削除します。

    関連操作

    RAM ロール

    RAM ロールは、ポリシーをアタッチできる仮想アイデンティティです。RAM ロールには、ログオン パスワードやアクセス キー ペアなどの永続的なアイデンティティ認証情報がありません。RAM ロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。信頼できるエンティティが RAM ロールを引き受けると、信頼できるエンティティは Security Token Service (STS) トークンを取得できます。その後、信頼できるエンティティは STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。

    以下の予防措置を講じることをお勧めします。

    • RAM ユーザーの作成後に、RAM ユーザーの信頼できるエンティティを頻繁に変更しないでください。RAM ユーザーの信頼できるエンティティを変更すると、権限が失われ、サービスの操作に影響を与える可能性があります。信頼できるエンティティを追加すると、権限のエスカレーションによりセキュリティ リスクが発生する可能性があります。変更を RAM ユーザーに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティに権限が付与されると、信頼できるエンティティは AssumeRole API 操作を呼び出して STS トークンを取得し、RAM ロールを引き受けるために使用できます。STS トークンは、限られた期間のみ有効です。セキュリティ リスクに備えて、有効期間を適切な値に設定することをお勧めします。

      説明

      STS トークンの最大有効期間は、RAM ロールに指定された最長セッション期間です。セキュリティ リスクを防ぐために、RAM ロールに適切なセッション期間を指定することをお勧めします。

    • RAM ロールに対して SSO を有効にして、RAM ロールが企業のアイデンティティ管理システムから Alibaba Cloud リソースにログオンしてアクセスできるようにします。

    関連操作

    参照