MaxCompute を使用する前に、専用の Resource Access Management (RAM) ユーザーを作成し、ジョブの実行またはプロジェクトの管理を担当するチームメンバーにアカウントを引き渡します。これにより、Alibaba Cloud アカウント(root ユーザー)の認証情報が日常的なワークフローに流出することを防ぎ、各チームメンバーがアクセス可能なリソースを細かく制御できます。
RAM ユーザーはお客様の Alibaba Cloud アカウントに所属します。RAM ユーザー自身はリソースを所有せず、発生したすべての利用料金はお客様の Alibaba Cloud アカウントに請求されます。
前提条件
開始する前に、Alibaba Cloud アカウント をお持ちであることを確認してください。
実施内容
ログイン名およびアクセスモードを指定して RAM ユーザーを作成します
RAM ユーザー向けに AccessKey を作成します
(任意)RAM ユーザーに DataWorks または MaxCompute コンソールの利用権限を付与します
アカウントおよび認証情報を対象のユーザーに引き渡します
ステップ 1:RAM ユーザーの作成
Resource Access Management (RAM) コンソール にログインします。
ナビゲーションウィンドウで、ID > ユーザー を選択します。
ユーザーの作成 をクリックします。
ユーザーアカウント情報 セクションで、以下のフィールドを入力します。一度に複数のユーザーを作成する場合は、ユーザーの追加 をクリックします。
フィールド 説明 ログイン名 1~128 文字。使用可能な文字:英字、数字、ピリオド ( .)、アンダースコア (_)、ハイフン (-)。表示名 最大 128 文字。 タグ (任意)ユーザーの整理のためにタグを付与できます。 アクセスモード セクションで、ユーザーが必要とするアクセスモードを選択します:
アクセスモード 選択するタイミング コンソールへのアクセス ユーザーが Alibaba Cloud 管理コンソールにログインする場合。ログインパスワード、パスワード再設定ポリシー、および多要素認証(MFA)ポリシーを設定します。 永続的な AccessKey を使用したアクセス ユーザーが API を呼び出す、または開発者ツールを利用する場合。永続的な AccessKey ペアを生成します。 OK をクリックします。
ユーザー情報 ページで、ログイン名とパスワードを保存するため、CSV ファイルのダウンロード をクリックするか、操作 列の コピー をクリックします。
ステップ 2:AccessKey の作成
RAM ユーザーが MaxCompute のジョブをプログラムで送信・実行するには、AccessKey が必要です。1 人の RAM ユーザーは最大 2 つの AccessKey を保持できます。
この手順を実行するには、親となる Alibaba Cloud アカウントが、RAM ユーザーによる自身の AccessKey の管理を許可している必要があります。
ナビゲーションウィンドウで、ID > ユーザー を選択します。
対象ユーザーのログイン名をクリックして、ユーザー詳細ページを開きます。
認証 タブをクリックします。
AccessKey セクションで、AccessKey の作成 をクリックします。
現在の AccessKey の作成がローテーション目的であることを確認する ダイアログボックスで、AccessKey の使用シナリオおよび推奨事項を確認し、適切な認証情報計画を選択します。その後、AccessKey の作成が必要であることを確認しました。 チェックボックスをオンにして、続行 をクリックします。
セキュリティ検証を完了し、AccessKey ID および AccessKey Secret を保存します。
詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。
(任意)ステップ 3:RAM ユーザーへの権限付与
RAM ユーザーが MaxCompute で実施する作業内容に応じて、必要な権限を付与します。
RAM ユーザーが DataWorks を使用して、視覚的にプロジェクトを作成できるようにするには、Alibaba Cloud アカウントが RAM ユーザーに AliyunDataWorksFullAccess 権限を付与する必要があります。
適切なポリシーの選択
| シナリオ | 付与するポリシー |
|---|---|
| MaxCompute サービスの有効化 | AliyunBSSOrderAccess |
| MaxCompute サービスの有効化、または DataWorks コンソール(レガシ)でのプロジェクトの作成/削除 | AliyunDataWorksFullAccess |
| MaxCompute コンソールでのプロジェクトおよびクォータの管理 | AliyunMaxComputeFullAccess またはカスタムポリシー |
MaxCompute コンソールでサポートされる権限の完全な一覧については、「RAM 権限」をご参照ください。
システムは、AdministratorAccess や AliyunRAMFullAccess のような高リスクのポリシーを自動的に警告します。これらのポリシーは、絶対に必要でない限り付与しないでください。
ポリシーの付与
ナビゲーションウィンドウで、ID > ユーザー を選択します。
対象ユーザーを見つけ、操作 列の 権限の追加 をクリックします。
権限の付与 パネルで、以下の設定を行います:
リソース範囲: [アカウント] を選択して現在の Alibaba Cloud アカウント全体に権限を適用するか、[リソースグループ] を選択して権限を特定のリソースグループに制限します。 リソースグループは、サービスとリソースタイプがサポートしている場合にのみ利用できます。詳細については、「リソースグループをサポートする Alibaba Cloud サービス」をご参照ください。 例については、「リソースグループを使用して RAM ユーザーの特定の ECS インスタンスへのアクセスを制御する」をご参照ください。
プリンシパル:対象の RAM ユーザー。自動的に選択されます。
ポリシー:検索して 1 つ以上のポリシーを選択します。利用可能なポリシーには以下の 2 種類があります:
システムポリシー — Alibaba Cloud によって作成および保守され、変更できません。 「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
[カスタムポリシー] — ユーザーが作成および管理します。詳細については、「カスタムポリシーの作成」をご参照ください。
OK をクリックします。
複数のユーザーに一度に権限を付与するには、ユーザー一覧から対象ユーザーを選択し、一覧下部の 権限の追加 をクリックします。
ステップ 4:RAM ユーザーアカウントの引き渡し
対象のユーザーに以下の情報を提供します:
アカウント認証情報
ログイン情報
ログイン方法およびリンク — RAM ユーザーは、汎用ログイン URL または専用ログインアドレスからログインできます。「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」をご参照ください。
Alibaba Cloud アカウントのデフォルトドメイン: RAM コンソール にログインし、ナビゲーションウィンドウから 概要 をクリックし、基本情報 セクション内の デフォルトドメイン を確認します。
次のステップ
RAM ユーザーの準備が完了したら、MaxCompute および DataWorks を有効化します。「MaxCompute および DataWorks の有効化」をご参照ください。