このトピックでは、資格情報の取得方法と使用方法について説明します。
資格情報とは、ユーザーの身元を確認するために使用できる一連の情報です。システムにログオンするときは、有効な資格情報を提供して身元認証を完了する必要があります。Alibaba Cloudでは、一般的に次の種類の資格情報が使用されます。
Alibaba CloudアカウントまたはResource Access Management (RAM)ユーザーのAccessKeyペア。AccessKeyペアは永続的に有効です。これは、AccessKey IDとAccessKeyシークレットで構成されます。
RAMロールのSecurity Token Service (STS)トークン。STSトークンは一時的な資格情報です。STSトークンの有効期間とアクセス許可を指定できます。詳細については、「STSとは」をご参照ください。
ベアラトークン。これは、ID認証と承認に使用されます。
AccessKeyペア
Alibaba CloudアカウントのAccessKeyペア
各Alibaba Cloudアカウントは、無効になっているAccessKeyペアを含め、最大 5 つのAccessKeyペアを持つことができます。RAMコンソールで、AccessKeyペアを作成または削除できます。AccessKeyペアは、有効または無効にすることができます。有効なAccessKeyペアのみがID認証に使用できます。
Alibaba CloudアカウントのAccessKeyペアは、アカウント内のすべてのリソースへのフルアクセス権を持っています。AccessKeyペアの漏洩は、Alibaba Cloudアカウント内のリソースにとって重大な脅威となります。
RAMユーザーのAccessKeyペア
各RAMユーザーは、最大 2 つのAccessKeyペアを持つことができます。RAMユーザーのAccessKeyペアを作成するには、RAMコンソールにログオンし、RAMユーザーの詳細ページに移動して、[AccessKeyの作成] をクリックします。
AccessKeyペアの漏洩リスクは時間とともに増加します。AccessKeyペアを定期的にローテーションすることをお勧めします。
STSトークン
RAMロールには、永続的なID資格情報がありません。RAMロールを引き受けることでAlibaba Cloudリソースにアクセスする場合、一時的な資格情報としてSTSトークンを取得できます。
STSトークンには有効期限があります。有効期限が切れたら、STSトークンを更新する必要があります。
ベアラトークン
クラウドコールセンターのみ、ベアラトークンを使用してSDKクライアントを初期化できます。ベアラトークンを使用するには、[認証モードの構成] パラメーターで [BearerToken] を選択します。
推奨事項
資格情報の漏洩は、クラウド リソースとビジネスにとって重大な脅威となります。日常のO&M中は、資格情報のセキュリティに特に注意してください。詳細については、「AccessKeyセキュリティソリューション」をご参照ください。