このトピックでは、RAM (Resource Access Management) ユーザーとAlibaba CloudアカウントのAccessKeyペアを作成する方法について説明します。
AccessKeyペアとは何ですか?
AccessKeyペアは、Alibaba Cloudによってユーザーに提供される永続的なアクセス資格情報です。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。
AccessKey ID は、ユーザーの識別に使用されます。
Access Key Secret は、ユーザーの ID の確認に使用されます。
AccessKey IDとAccessKey secretは、アルゴリズムに基づいてRAMによって生成されます。 Alibaba Cloudは、保存および送信中にAccessKey IDとAccessKeyシークレットを暗号化します。
コンソールログオンにAccessKeyペアを使用することはできません。 API、CLI、SDK、Terraformなどの開発ツールを使用してAlibaba Cloudにアクセスする場合、開始されるリクエストには、AccessKey IDと、AccessKeyシークレットを使用してリクエストを暗号化するために生成される署名が含まれます。 この場合、AccessKeyペアはID検証とリクエストの有効性検証に使用されます。
AccessKeyペアのベストプラクティス
AccessKeyペアは、プログラム用に設計された永続的な資格情報です。 アカウントのAccessKeyペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。
Alibaba CloudアカウントのAccessKeyペアは作成しないことを推奨します。
デフォルトでは、Alibaba Cloudアカウントは管理者であり、Alibaba CloudアカウントのすべてのAlibaba Cloudリソースを管理する権限を持っています。 Alibaba Cloudアカウントの権限を変更することはできません。 Alibaba CloudアカウントのAccessKeyペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。 アカウントのセキュリティを確保するため、Alibaba CloudアカウントのAccessKeyペアを作成しないことを推奨します。 APIアクセスモードのみが有効になっているRAMユーザーを作成し、そのRAMユーザーのAccessKeyペアを作成することを推奨します。 最小権限の原則に基づいて必要な権限のみをRAMユーザーに付与すると、RAMユーザーはAPI操作を呼び出してAlibaba Cloudリソースにアクセスできます。
認証情報のリークを減らすために、AccessKeyペアの代わりにSecurity Token Service (STS) トークンを作成することを推奨します。
AccessKeyペアの機密を保持します。 AccessKeyペアを共有したり、AccessKeyペアをパブリックドキュメントに含めたりしないでください。
平文のAccessKeyペアをコードに含めないでください。
AccessKeyペアが必要ない場合は、できるだけ早くAccessKeyペアを無効にしてください。
定期的にAccessKeyペアを回転します。 RAMユーザーがAccessKeyペアを有効にすると、もう一方のAccessKeyペアはローテーションにのみ使用されます。
権限の原則に基づいて、RAMユーザーに必要な権限のみを付与します。
詳細については、「アクセス資格情報を使用してAPI操作を呼び出すためのベストプラクティス」をご参照ください。
RAMユーザーのAccessKeyペアを作成する
前提条件
次のいずれかのアカウントを使用して、RAMユーザーのAccessKeyペアを作成できます。
Alibaba Cloudアカウント。
RAM管理者。
AccessKeyペアを管理する権限が付与されているRAMユーザー。 RAMユーザーが属するAlibaba Cloudアカウントを使用して権限を付与できます。 RAMユーザーにAccessKeyペアを管理する権限を付与する方法の詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
制限事項
RAMユーザーのAccessKeyシークレットは、RAMユーザーのAccessKeyペアを作成した場合にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 これにより、AccessKeyペアリークのリスクを軽減できます。 AccessKey secretを記録し、機密を保持します。
RAMユーザーに対して最大2つのAccessKeyペアを作成できます。
手順
RAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ユーザーページで、管理するRAMユーザーのユーザー名をクリックします。
認証タブのAccessKeyセクションで、AccessKeyの作成をクリックします。
各シナリオの提案を読み、ビジネス要件に基づいて資格情報ソリューションを選択します。 AccessKeyペアを作成する必要がある場合は、シナリオを選択し、[AccessKeyの作成が必要であることを確認] を選択し、[続行] をクリックします。 作成されたAccessKeyペアは、すべてのシナリオで使用できます。
AccessKeyの作成ダイアログボックスで、AccessKey IDとAccessKey secretを保存し、OKをクリックします。
Alibaba CloudアカウントのAccessKeyペアを作成する
制限事項
Alibaba CloudアカウントのAccessKeyシークレットは、Alibaba CloudアカウントのAccessKeyペアを作成した場合にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 これにより、AccessKeyペアリークのリスクを軽減できます。 AccessKey secretを記録し、機密を保持します。
Alibaba Cloudアカウントに最大5つのAccessKeyペアを作成できます。
手順
Alibaba Cloudアカウントを使用してAlibaba Cloud管理コンソールにログインします。
表示されるページの右上隅にあるプロフィール写真の上にポインターを移動して、AccessKeyをクリックします。
メインアカウントのAccessKeyは推奨されませんダイアログボックスで、Alibaba CloudアカウントのAccessKeyペアを使用することによって生じるリスクを読み、メインアカウントのAccessKeyを使用することによるセキュリティリスクを認識していますを選択し、メインアカウントのAccessKeyを使用するをクリックします。
AccessKeyページで、AccessKeyの作成をクリックします。
[メインアカウントのAccessKeyの作成] ダイアログボックスで、Alibaba CloudアカウントのAccessKeyペアの作成によるリスクと、Alibaba CloudアカウントのAccessKeyペアの使用制限を読み、[メインアカウントのAccessKeyの使用によるセキュリティリスクを認識しています] を選択し、[メインアカウントのAccessKeyの使用] をクリックします。
AccessKeyの作成ダイアログボックスで、AccessKey IDとAccessKey secretを保存し、AccessKeyシークレットを保存しましたを選択し、OKをクリックします。
