このトピックでは、Resource Access Management (RAM) ユーザーを作成する方法について説明します。 プロジェクトのデータセキュリティ問題を回避するために、RAM ユーザーを作成し、別のユーザーに割り当てます。 これにより、RAM を使用して、MaxCompute プロジェクトに参加するユーザーの権限を厳密に制御できます。
RAM ユーザーの概要
Resource Access Management (RAM) は、ユーザー ID とリソースアクセス権限を一元管理できる Alibaba Cloud サービスです。 RAM を使用すると、さまざまな ID を作成および管理し、それらに詳細な権限を付与できます。 これにより、ご利用のクラウドリソースへの安全なアクセスが保証されます。
RAM ユーザーは Alibaba Cloud アカウントに属します。 リソースを所有せず、独立した課金メカニズムもありません。
RAM ユーザーの Alibaba Cloud サービスでの操作によって発生した費用は、その RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。
操作手順
Alibaba Cloud アカウントが必要です。
RAM サービスを使用して RAM ユーザーを作成します。
RAM ユーザーの AccessKey を作成します。 AccessKey は、RAM ユーザーによって送信されたジョブを実行するために必要です。
新しく作成した RAM ユーザーのアカウントと AccessKey 情報を対象ユーザーに提供します。
ステップ 1:RAM ユーザーの作成
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
ユーザーの作成 ページで、ユーザー情報を設定します。
ユーザーアカウント情報 セクションで、次のパラメーターを設定します。
ログイン名:名前は 1~128 文字以内でなければなりません。文字、数字、ピリオド (.)、下線 (_)、ハイフン (-) を含むことができます。。
[表示名]:表示名は最大 128 文字まで設定できます。
[タグ]:RAM ユーザーにタグを付与して、タグに基づいてユーザーを管理します。
ユーザーの追加:オプション。 ユーザーの追加 をクリックすると、一度の操作で複数の RAM ユーザーを作成できます。
アクセスモード セクションで、次のパラメーターを設定します:
コンソールへのアクセス:ログインパスワード、パスワードリセットポリシー、多要素認証 (MFA) ポリシーを設定します。
[永続的な AccessKey を使用したアクセス]:RAM ユーザーが API または開発者ツールを介して Alibaba Cloud にアクセスするために使用できる永続的な AccessKey ペアを生成します。
[OK] をクリックします。
ユーザー情報 ページで、CSV ファイルのダウンロード をクリックするか、[操作] 列の [コピー] をクリックして、RAM ユーザーのログイン名とログインパスワードを保存します。
ステップ 2:AccessKey の作成
親の Alibaba Cloud アカウントが RAM ユーザーに自身の AccessKey の管理を許可するように設定されている場合、RAM ユーザーは AccessKey を作成できます。 RAM ユーザーは最大 2 つの AccessKey を持つことができます。 以下の手順でその手順を説明します。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、対象ユーザーの [ユーザーログイン名/表示名] をクリックして、ユーザー詳細ページを開きます。
ユーザー詳細ページで、認証管理 タブをクリックします。
認証管理 タブの [AccessKey] セクションで、[AccessKey の作成] をクリックします。
[現在の AccessKey の作成がローテーション目的であることの確認] ダイアログボックスで、AccessKey の利用シーンと推奨事項を確認し、適切な認証情報プランを選択します。 次に、[AccessKey の作成が必要であることを確認します。] チェックボックスをオンにし、[続行] をクリックします。
プロンプトに従ってセキュリティ検証を完了し、AccessKey ID と AccessKey Secret を保存します。
自身の AccessKey を管理する方法の詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。
(オプション) ステップ 3:RAM ユーザーへの権限付与
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、対象のユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、アクセスポリシーを選択し、[OK] をクリックします。
複数の RAM ユーザーを選択し、ユーザーリストの下にある [権限の追加] をクリックして、一括で権限を付与することもできます。
リソース範囲
権限は、Alibaba Cloud サービスとリソースタイプがリソースグループをサポートしている場合にのみ、リソースグループに適用できます。 詳細については、「リソースグループをサポートする Alibaba Cloud サービス」をご参照ください。 リソースグループに権限を付与する方法の例については、「リソースグループを使用して特定の ECS インスタンスへの RAM ユーザーのアクセスを制御する」をご参照ください。
[アカウント]:権限は現在の Alibaba Cloud アカウント内で適用されます。
リソースグループ: 権限は、指定されたリソースグループ内で適用されます。
[プリンシパル]:プリンシパルは、権限を付与する RAM ユーザーです。 システムは現在の RAM ユーザーを自動的に選択します。
[ポリシー]:ポリシーはアクセス権限のコレクションです。 ポリシーには次の 2 種類があります。 複数のポリシーを選択できます。
システムは、AdministratorAccess や AliyunRAMFullAccess などのリスクの高いシステムポリシーを自動的に識別します。 必要でない限り、リスクの高いアクセスポリシーを付与しないでください。
システムポリシー:これらのポリシーは Alibaba Cloud によって作成されます。 ポリシーのバージョンは Alibaba Cloud によって維持されます。 これらのポリシーは使用できますが、変更はできません。 詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
カスタムポリシー:これらのポリシーとそのバージョンはユーザーが管理します。 カスタムポリシーの作成、更新、削除ができます。 詳細については、「カスタムポリシーの作成」をご参照ください。
ポリシー名の一覧で、必要なポリシーを選択し、選択済みリストに追加します。
RAM ユーザーが後で MaxCompute サービスを有効化する必要がある場合、Alibaba Cloud アカウントは RAM ユーザーに AliyunBSSOrderAccess 権限を付与する必要があります。
AliyunDataWorksFullAccess:RAM ユーザーがレガシーコンソールで MaxCompute サービスを有効化したり、プロジェクトを追加または削除したりする必要がある場合は、このポリシーを付与する必要があります。
AliyunMaxComputeFullAccess:RAM ユーザーが新しい MaxCompute コンソールでプロジェクトとクォータを管理する必要がある場合は、このポリシーまたはカスタムポリシーを付与できます。 新しいコンソールでサポートされている RAM 権限の詳細については、「RAM 権限」をご参照ください。
ステップ 4:RAM ユーザーアカウントの引き渡し
RAM ユーザーアカウントを別のユーザーに引き渡す際には、次の情報を提供します:
RAM ユーザーのアカウント情報。これには以下が含まれます:
RAM ユーザーのログイン方法とログインリンク。
RAM ユーザーは、一般的なログイン URL または専用のログインアドレスでアカウント情報を入力することにより、Alibaba Cloud マネジメントコンソールにログインできます。 詳細については、「RAM ユーザーとして Alibaba Cloud マネジメントコンソールにログインする」をご参照ください。
RAM ユーザーが属する Alibaba Cloud アカウントのドメイン名。
Resource Access Management (RAM) コンソールにログインします。 左側のナビゲーションウィンドウで、[概要] をクリックします。 [基本情報] セクションで、[デフォルトドメイン] を取得します。
次のステップ
RAM ユーザーを作成した後、MaxCompute サービスを有効化できます。 詳細については、「MaxCompute と DataWorks の有効化」をご参照ください。