このトピックでは、Resource Access Management (RAM) ユーザーを作成する方法について説明します。プロジェクトにおけるデータセキュリティの問題を防ぐため、RAM ユーザーを作成して別のユーザーに割り当てます。これにより、RAM を使用して、MaxCompute プロジェクトに参加するユーザーの権限を厳格に管理できます。
RAM ユーザーの概要
Resource Access Management (RAM) は、ユーザー ID とリソースへのアクセス権限を一元管理できる Alibaba Cloud サービスです。RAM を使用すると、さまざまな ID を作成および管理し、きめ細かい権限を付与できます。これにより、クラウドリソースへの安全なアクセスが確保されます。
RAM ユーザーは Alibaba Cloud アカウントに属しています。リソースを所有せず、独立した課金メカニズムも持ちません。
RAM ユーザーが Alibaba Cloud サービスで実行した操作によって発生したコストは、その RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。
操作手順
Alibaba Cloud アカウント を所有していること。
RAM サービスを使用して RAM ユーザーを作成します。
RAM ユーザー用の AccessKey を作成します。AccessKey は、RAM ユーザーが送信したジョブを実行するために必要です。
ステップ 4:RAM ユーザーアカウントの別のユーザーへの引き渡し
新しく作成した RAM ユーザーのアカウントと AccessKey 情報を、対象のユーザーに提供します。
ステップ 1:RAM ユーザーの作成
-
RAM コンソール にログインします。
-
左側のナビゲーションバーで を選択します。
-
ユーザー ページで ユーザーの作成 をクリックします。
-
ユーザーの作成 ページでユーザー情報を設定します。
-
ユーザーアカウント情報 セクションで、以下の設定を行います。
-
ログイン名:名前は 1~128 文字以内でなければなりません。文字、数字、ピリオド (.)、下線 (_)、ハイフン (-) を含むことができます。
-
表示名:最大 128 文字です。
-
ラベル:RAM ユーザーにタグを付与して、後続のタグベースのユーザー管理を容易にします。
-
ユーザーの追加:任意です。ユーザーの追加 をクリックすると、複数の RAM ユーザーを一度に作成できます。
-
-
アクセスモード セクションで、以下の設定を行います。
-
コンソールへのアクセス:コンソールのログインパスワード、パスワード再設定ポリシー、多要素認証 (MFA) ポリシーを設定します。
-
永続的な AccessKey を使用したアクセス:AccessKey は、API やその他の開発ツールを通じて Alibaba Cloud にアクセスするために RAM ユーザーに対して自動的に生成されます。
-
-
決定 をクリックして作成を完了します。
-
ユーザー情報 ページで、CSV ファイルのダウンロード をクリックするか、操作 列の コピー をクリックして、RAM ユーザーのログイン名とログインパスワードを保存します。
ステップ 2:AccessKey の作成
親 Alibaba Cloud アカウントが RAM ユーザーに自分の AccessKey を管理することを許可するように設定されている場合、RAM ユーザーは AccessKey を作成できます。RAM ユーザーは最大 2 つの AccessKey を持つことができます。手順は次のとおりです。
-
RAM コンソール にログインします。
-
左側のナビゲーションバーで を選択します。
-
ユーザー ページで、対象の ユーザーログイン名/表示名 をクリックして、ユーザー詳細ページに移動します。
-
ユーザー詳細ページで 認証管理 タブをクリックします。
-
認証管理 タブの AccessKey セクションで AccessKey の作成 をクリックします。
-
Confirm that the current accessKey creation is for rotation purposes ダイアログボックスで、使用シナリオと推奨事項を確認し、より適切な認証情報ソリューションを選択します。該当する使用シナリオを選択した後、I confirm that it is necessary to create an AccessKey チェックボックスをオンにして、次へ をクリックします。
画面の指示に従ってセキュリティ検証を完了し、AccessKey ID と AccessKey Secret を保存します。
自分の AccessKey を管理する方法の詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。
(オプション) ステップ 3:RAM ユーザーへの権限付与
-
左側のナビゲーションバーで を選択します。
-
ユーザー ページで、対象の ユーザーログイン名/表示名 の [操作] 列で 権限の追加 をクリックします。
-
権限の付与 パネルで、ユーザーに付与するポリシーを選択し、Grant permissions をクリックします。
また、複数の RAM ユーザーを選択し、ユーザーリストの下にある[権限の追加]をクリックして、一括で権限を付与することもできます。
Resource Scope
リソースグループによる権限付与を有効にするには、クラウドサービスおよびリソースタイプがリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするクラウドサービス」をご参照ください。リソースグループによる権限付与の例については、「リソースグループを使用して、RAM ユーザーが特定の ECS インスタンスを管理できないように制限する」をご参照ください。
Account:権限は現在の Alibaba Cloud アカウント内で有効になります。
ResourceGroup:権限は指定されたリソースグループ内で有効になります。
権限付与の対象:プリンシパルとは、権限を付与する対象の RAM ユーザーです。システムにより、現在の RAM ユーザーが自動的に選択されます。
ポリシー:ポリシーとは、一連のアクセス権限のセットであり、以下の 2 種類に分類されます。複数のポリシーを選択できます。
システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクなシステムポリシーを自動的に識別します。権限付与時には、不要な高リスクポリシーの付与を避けてください。
システムポリシー:Alibaba Cloud が作成・管理するポリシーです。システムポリシーは利用できますが、変更はできません。詳細については、「RAM をサポートするクラウドサービス」をご参照ください。
カスタムポリシー:お客様が管理するポリシーです。カスタムポリシーは作成・更新・削除できます。詳細については、「カスタムポリシーの作成」をご参照ください。
-
ポリシー名のリストで、必要なポリシーを選択して、選択済みリストに追加します。
RAM ユーザーが後で MaxCompute サービスをアクティブ化する必要がある場合、Alibaba Cloud アカウントは RAM ユーザーに AliyunBSSOrderAccess 権限を付与する必要があります。
-
AliyunDataWorksFullAccess:このポリシーは、RAM ユーザーが MaxCompute をアクティブ化したり、レガシーコンソールでプロジェクトを追加および削除したりする必要がある場合に必要です。
-
AliyunMaxComputeFullAccess:このポリシーまたはカスタムポリシーは、RAM ユーザーが新しい MaxCompute コンソールでプロジェクトを管理したり、クォータ管理を実行したりする必要がある場合に付与できます。新しいコンソールでサポートされる RAM 権限の詳細については、「RAM 権限」をご参照ください。
ステップ 4:RAM ユーザーアカウントの別のユーザーへの引き渡し
RAM ユーザーアカウントを別のユーザーに引き渡す際は、次の情報を提供します。
RAM ユーザーのアカウント情報。これには、以下の内容が含まれます。
RAM ユーザーのログイン方法とログインリンク。
RAM ユーザーは、一般的なログイン URL または専用のログインアドレスでアカウント情報を入力することで、Alibaba Cloud Management Console にログインできます。詳細については、「RAM ユーザーとして Alibaba Cloud Management Console にログインする」をご参照ください。
-
RAM ユーザーが属する Alibaba Cloud アカウントのドメイン名。
RAM コンソール にログインします。左側のナビゲーションバーで 概要 をクリックし、基本情報 セクションから デフォルトドメイン を取得します。
次のステップ
RAM ユーザーを作成した後、MaxCompute サービスをアクティブ化できます。詳細については、「MaxCompute と DataWorks のアクティブ化」をご参照ください。