アイデンティティは、システム内のユーザを一意に識別する。 資格情報は、ユーザーの身元を確認するために使用できる情報のグループです。 権限付与とは、IDが検証されたユーザーに特定のリソースに対する権限を付与するプロセスです。 ID、資格情報、および認証を使用して、ユーザーIDのセキュリティを確保し、リソースへのユーザーアクセスを制御できます。
ID
アイデンティティは、システム内のユーザを一意に識別する。 システムは、ユーザのアイデンティティに基づいてユーザの許可を決定する。 Alibaba Cloudは、Alibaba Cloudアカウント、RAM (Resource Access Management) ユーザー、RAMロールの各タイプのIDをサポートしています。
Alibaba Cloud アカウント
Alibaba Cloudアカウントは、Alibaba Cloudリソースの所有権、およびリソース使用量の課金および課金の基本エンティティです。 Alibaba Cloudアカウントは、アカウント内のすべてのリソースの使用に対して課金され、リソースに対する完全な権限を持っています。 Alibaba Cloudアカウントを使用する必要があるシナリオを除き、Alibaba Cloud管理コンソールにログインし、RAMユーザーとして、またはRAMロールとしてAPI操作を呼び出すことを推奨します。
RAM ユーザー
固定IDと資格情報を持つ物理ID。 RAMユーザーは、人またはアプリケーションを表します。 詳細については、「RAMユーザーの概要」をご参照ください。
RAM ロール
RAMロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。
たとえば、Alibaba CloudアカウントAはRAMロールa_rr1を作成し、OSS (Object Storage Service) の
FullAccess権限をRAMロールに付与し、Alibaba CloudアカウントbのRAMユーザーb_ru1にRAMロールを割り当てます。開発者は、RAMユーザーb_ru1としてコンソールにログインし、RAMロールA_rr1を想定してアカウントaのOSSリソースを管理できます。詳細については、「RAMロールの概要」をご参照ください。
資格情報
資格情報は、ユーザーの身元を確認するために使用できる情報のグループです。 システムにログオンするときは、ID認証を完了するために有効な資格情報を提供する必要があります。 Alibaba Cloudでは、以下のタイプの資格情報が一般的に使用されます。
Alibaba CloudアカウントまたはRAMユーザーのAccessKeyペア。 AccessKeyペアは永続的に有効です。 AccessKey IDとAccessKeyシークレットで構成されています。
警告Alibaba CloudアカウントのAccessKeyペアは、アカウント内のすべてのリソースにフルアクセスできます。 AccessKeyペアリークは、Alibaba Cloudアカウント内のリソースに重大な脅威をもたらします。 RAMユーザーのAccessKeyペアを使用し、定期的にAccessKeyペアをローテーションすることを推奨します。 RAMユーザーのAccessKeyペアを作成する方法については、「AccessKeyペアの作成」をご参照ください。
RAMロールのSTS (Security Token Service) トークン。 STSトークンは一時的な資格情報です。 STSトークンの有効期間とアクセス権限を指定できます。 詳細については、「STSとは何ですか?」をご参照ください。
説明STSトークンには有効期間があります。 STSトークンの有効期限が切れた後に更新する必要があります。
ベアラトークン。 ID認証と承認に使用されます。 サポートされている値は、 Cloud Call Centerでは、ベアラトークンを使用して資格情報クライアントを初期化できます。 ベアラトークンを使用するには、[認証モードの設定] パラメーターにBearerTokenを選択します。
資格情報の漏洩は、クラウドリソースとビジネスに重大な脅威をもたらします。 定期的なO&Mでは、資格情報のセキュリティに特に注意してください。詳細については、「Credentialセキュリティソリューション」をご参照ください。
権限付与
権限付与は、システム管理者またはリソース所有者がリソースアクセス権限をユーザーに付与するプロセスです。 システムがユーザの身元を検証した後、システムは、許可に基づいてユーザが特定の動作を実行することを許可するかどうかを決定する。
各Alibaba Cloud API操作を呼び出すには、特定の最小権限が必要です。 API操作を呼び出す前に、必要な権限があることを確認してください。 OpenAPI ExplorerのAPI操作のAPI Docsページで、API操作に必要な最小限の権限を表示できます。 次の図は、Elastic Compute Service (ECS) のRunInstances操作の権限情報を示しています。
Alibaba Cloud アカウント
Alibaba Cloudアカウントには、アカウント内のすべてのクラウドリソースに対する完全な権限があります。 Alibaba Cloudアカウントに権限を付与する必要はなく、Alibaba Cloudアカウントの権限は変更できません。 ただし、Alibaba Cloudアカウントがリソースディレクトリに属している場合、アカウントはリソースディレクトリのアクセス制御ポリシーによって制限される可能性があります。 詳細については、「概要」をご参照ください。
RAM ユーザー
API操作のAPI Docsページに表示される権限をRAMユーザーに付与できます。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
RAM ロール
RAMユーザーの権限付与と比較して、RAMロールの権限付与には追加の手順が必要です。
信頼できるエンティティを指定します。 Alibaba Cloudアカウント、RAMユーザー、または別のRAMロールを、RAMロールの信頼できるエンティティとして指定できます。
必要な権限を付与します。 詳細については、「RAMロールの概要」をご参照ください。
RAMロールに権限を付与する場合、次のシナリオに注意してください。
シナリオ1: 認証チェーン
たとえば、アカウントAのRAMユーザーaRamUser1は、アカウントBのRAMロールbRamRole1を引き受ける権限があり、アカウントBのRAMロールbRamRole1は、アカウントCのRAMロールcRamRole1を引き受ける権限があります。アカウントAのRAMユーザーaRamUser1は、アカウントCのRAMロールcRamRole1を引き受ける権限がありません。アカウントAのRAMユーザーaRamUser1は、RAMロールcRamRole1を引き受ける権限を持つRAMロールbRamRole1を引き受けることにより、アカウントCのリソースにアクセスできます。 これは、認可チェーン効果と呼ばれる。
シナリオ2: 暗黙の承認
Alibaba Cloudアカウント内でRAMロールを作成するときに、現在のAlibaba Cloudアカウントを信頼できるエンティティとして選択した場合、Alibaba Cloudアカウント内で
assumeRole権限を持つすべてのRAMユーザーまたはRAMロールは、デフォルトでRAMロールを引き受けることができます。 RAMロールに高い権限が付与されている場合、assumeRole権限のみを持つすべてのRAMユーザーまたはRAMロールは、これらの高い権限を取得できます。