Alibaba Cloud API へのプログラムによるアクセスを認証するため、Resource Access Management (RAM) ユーザーまたは Alibaba Cloud アカウントの AccessKey ペアを作成します。
AccessKey とは
AccessKey ペアは、プログラムによるアクセス用に Alibaba Cloud が発行する長期的なセキュリティ認証情報です。AccessKey ID と AccessKey Secret で構成されます。
-
AccessKey ID:AccessKey ペアを一意に識別する公開識別子です。
-
AccessKey Secret:プログラムによるリクエストに署名するために使用される秘密鍵です。この署名により、リクエストの真正性と整合性が検証されます。AccessKey Secret は厳密に機密として管理する必要があります。
漏洩リスクを低減するため、AccessKey Secret は作成時のみ表示されます。後から再取得することはできません。必ず安全な場所に保管してください。
AccessKey の使用方法
AccessKey ペアは、CLI、SDK、Terraform を通じて Alibaba Cloud API のプログラムによる呼び出しを認証します。コンソールへのサインインには使用できません。
アプリケーション内に直接 AccessKey ペアを使用することは避けてください。Alibaba Cloud では、一時的なセキュリティ認証情報(STS トークン)を使用する AccessKey 不要のソリューションを提供しています。アプリケーション開発シナリオ。
やむを得ず AccessKey ペアを使用する必要がある場合は、「避けられない AccessKey ペアの適切な保管と使用方法」のガイダンスに従ってください。
AccessKey の仕組み
RAM は暗号アルゴリズムを使用して AccessKey ID および AccessKey Secret を生成します。Alibaba Cloud はこれらを保存および送信中に暗号化します。
アプリケーションがリクエストを送信する際、AccessKey ID と AccessKey Secret から導出された署名を含めます。Alibaba Cloud はこれらを使用して送信者の ID およびリクエストの整合性を検証します。V3 リクエストボディと署名メカニズム。
RAM ユーザーの AccessKey 作成
以下の手順は、RAM 管理者(AliyunRAMFullAccess ポリシーを持つユーザー)として実行してください。RAM ユーザーをお持ちでない場合は、事前に作成してください。
RAM ユーザー自身が AccessKey ペアを作成する場合は、「Alibaba Cloud アカウントの AccessKey 作成(非推奨)」の手順に従ってください。
コンソール
-
RAM コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
-
ユーザー一覧で対象の RAM ユーザー を見つけ、ユーザー名をクリックします。
-
AccessKey タブで、AccessKey の作成 をクリックします。
説明各 RAM ユーザーは最大 2 つの AccessKey ペアを持つことができます。 1 つはアクティブに使用し、もう 1 つはローテーション用に作成して古いものを置き換えることができます。
-
ダイアログボックスでユースケースと推奨事項を確認します。AccessKey ペアを作成する必要がある場合は、ユースケースを選択し、I confirm that it is necessary to create an AccessKey を選択してから、Continue をクリックします。選択したユースケースは、作成される AccessKey ペアに影響しません。

-
指示に従ってセキュリティ検証を完了します。
-
AccessKey の作成 ダイアログボックスで、AccessKey ID と AccessKey Secret を保存し、OK をクリックします。
AccessKey ペアのネットワークアクセス制御ポリシーの設定(任意):OpenAPI リクエストの送信元 IP アドレスを制限し、信頼できるネットワークからの呼び出しだけを許可します。Configure network access policy をクリックして制限を設定します。RAM ユーザーの AccessKey レベルでのネットワークアクセス制御ポリシーの設定。
重要漏洩リスクを低減するため、AccessKey Secret は作成時のみ表示されます。後から再取得することはできません。必ず安全な場所に保管してください。
OpenAPI
CreateAccessKey 操作を呼び出し、次のパラメーターを指定します。
-
UserPrincipalName:AccessKey ペアを所有するユーザーのログイン名。形式はtest@example.onaliyun.comです。ユーザーのログイン名は RAM コンソールで確認できます。
漏洩リスクを低減するため、AccessKey Secret は CreateAccessKey 操作の応答でのみ返されます。後から再取得することはできません。必ず安全な場所に保管してください。
Alibaba Cloud アカウントの AccessKey 作成(非推奨)
絶対に必要な場合を除き、Alibaba Cloud アカウントの AccessKey ペアを作成または使用しないでください。作業を進める前に、代わりに RAM ユーザーの AccessKey ペアを使用できるかどうかを検討してください。
-
Alibaba Cloud コンソールに Alibaba Cloud アカウントでログインします。
-
右上隅のプロファイルアイコンにカーソルを合わせ、AccessKey をクリックします。

-
Cloud Account AccessKey Pair Not Recommended ダイアログボックスで、Alibaba Cloud アカウントの AccessKey ペア作成に関連するリスクを確認します。続行するには、I am aware of the security risks of using a main account AccessKey. を選択し、Use Cloud Account AccessKey をクリックします。

-
AccessKey ページで、AccessKey の作成 をクリックします。
説明Alibaba Cloud アカウントは最大 2 つの AccessKey ペアを持つことができます。 1 つはアクティブに使用し、もう 1 つはローテーション用に作成して古いものを置き換えることができます。
-
Create Main Account AccessKey ダイアログボックスで、再度リスクと制限事項を確認します。Alibaba Cloud アカウントの AccessKey ペアを作成することを確実に希望する場合は、I am aware of the security risks of using a main account AccessKey. を選択し、Use Cloud Account AccessKey をクリックします。

-
AccessKey の作成 ダイアログボックスで、AccessKey ID と AccessKey Secret を保存し、AccessKey Secretを保存しました を選択してから、OK をクリックします。
AccessKey ペアのネットワークアクセス制御ポリシーの設定(推奨):OpenAPI リクエストの送信元 IP アドレスを制限し、信頼できるネットワークからの呼び出しだけを許可します。Configure network access policy をクリックして制限を設定します。Alibaba Cloud アカウントの AccessKey レベルでのネットワークアクセス制御ポリシーの設定。
重要漏洩リスクを低減するため、Alibaba Cloud アカウントの AccessKey Secret は作成時のみ表示されます。後から再取得することはできません。必ず安全な場所に保管してください。