Alibaba Cloudアカウントとクラウド・リソースのセキュリティを確保するために、必要な場合を除き、Alibaba Cloudアカウントを使用してNetwork Intelligence Service (NIS)にアクセスしないでください。Resource Access Management (RAM) が提供するID(RAM ユーザーやRAM ロールなど)を使用してNISにアクセスすることをお勧めします。
RAMユーザー
RAMユーザーは、管理者権限を持つAlibaba Cloudアカウント、RAMユーザー、またはRAMロールによって作成されます。RAMユーザーは、必要な権限を取得した場合にのみ、コンソールにログオンしたり、Alibaba Cloudアカウント内のAlibaba Cloudリソースにアクセスしたりできます。以下の予防措置を講じることをお勧めします。
Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理者権限を付与します。その後、RAMユーザーを使用して他のRAMユーザーを作成および管理できます。
個人のRAMユーザーとプログラムのRAMユーザーを区別します。
RAMコンソールまたはOpenAPI Explorerを使用してRAMユーザーを作成できます。RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。OpenAPI Explorerを使用する場合は、アクセスキーペアを入力する必要があります。人為的なミスを防ぐために、同じタイプのシナリオに対して1つの方法のみを指定してください。RAMコンソールを使用する場合は、セキュリティを強化するために多要素認証を有効にすることをお勧めします。
最小権限の原則に基づいてRAMユーザーに権限を付与します。
最小権限とは、操作を実行するために必要な最小限の権限を指し、その他の権限は除外されます。最小権限はデータセキュリティを向上させ、権限の乱用を防ぎます。
AccessKey IDまたはAccessKeyシークレットをコードに埋め込まないでください。埋め込むと、アクセスキーペアが漏洩し、アカウント内のすべてのリソースのセキュリティリスクが高まる可能性があります。
RAMユーザーのシングルサインオン(SSO)を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログオンしてアクセスできるようにします。
関連操作
RAMユーザーグループ
Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合は、権限管理を容易にするために、それらを異なるグループに分類できます。たとえば、同じRAMユーザーグループのRAMユーザーに同じ権限を付与できます。以下の予防措職を講じることをお勧めします。
最小権限の原則に基づいてRAMユーザーグループに権限を付与します。
RAMユーザーの職務が変更された場合は、RAMユーザーグループからRAMユーザーを削除します。
RAMユーザーがRAMユーザーグループの権限を必要としなくなった場合は、RAMユーザーグループからRAMユーザーを削除します。
関連操作
RAMロール
RAM ロールは、ポリシーをアタッチできる仮想IDです。RAM ユーザーとは異なり、RAM ロールには、ログオンパスワードやアクセスキーペアなどの永続的なID認証情報がありません。RAMロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。信頼できるエンティティがRAMロールを引き受けると、信頼できるエンティティは一時的なID認証情報を取得できます。認証情報は、RAM ロールのSecurity Token Service (STS)トークンであり、RAM ロールが権限を持つリソースにアクセスするために使用されます。
RAM ロールを使用する場合は、次のルールに従うことをお勧めします。
RAMユーザーの作成後、RAMユーザーの信頼できるエンティティを頻繁に変更しないでください。RAMユーザーの信頼できるエンティティを変更すると、権限が失われ、サービスの操作に影響を与える可能性があります。信頼できるエンティティを追加すると、権限昇格によりセキュリティリスクが発生する可能性があります。変更をRAMユーザーに適用する前に、変更が完全にテストされていることを確認してください。
RAMロールのSSOを有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログオンしてアクセスできるようにします。