RAM (Resource Access Management) シークレットには、RAMユーザーのAccessKeyペアが格納されます。 AccessKeyペアは、AccessKeyキーとAccessKeyシークレットで構成されます。 シークレットは、RAMユーザーがAlibaba Cloud APIを呼び出すときにRAMユーザーを認証するために使用されます。 KMSは、RAMシークレットを定期的にローテーションして、ダイナミックRAMシークレットを提供します。 これにより、RAMシークレットリークのリスクが軽減されます。 KMSでは、RAMシークレットを即座にローテーションして、使用中のAccessKeyペアを変更することもできます。 これは、RAMシークレットがリークされた場合に便利です。
ダイナミックRAMシークレットの使用
アプリケーションでダイナミックRAMシークレットを使用する場合、アプリケーションでAccessKeyペアを設定する必要はありません。 KMSでダイナミックRAMシークレットを作成し、自動ローテーション間隔を設定する場合、アプリケーションはGetSecretValue操作を呼び出して有効なAccessKeyペアを取得できます。 その後、アプリケーションはAccessKeyペアを使用してAlibaba Cloud APIを呼び出すことができます。
RAMシークレットがローテーションされると、そのシークレットに関連付けられているRAMユーザーのAccessKeyペアが同期的に更新されます。 ダイナミックRAMシークレットに関連付けられているRAMユーザーは削除しないことを推奨します。 ダイナミックRAMシークレットに関連付けられているRAMユーザーを削除すると、シークレットのローテーションに失敗します。
ダイナミックRAMシークレットは、次のプロセスで使用できます。
ダイナミックRAMシークレットを使用してAlibaba Cloudサービスにアクセスします。
使用上の注意
RAMシークレットがローテーション中で、即時ローテーションリクエストを開始した場合、即時ローテーションは有効になりません。
制限事項
KMSは、RAMユーザーのAccessKeyペアのみを管理できます。 KMSは、Alibaba CloudアカウントのAccessKeyペアを管理できません。