すべてのプロダクト
Search

このプロダクト

    OpenAPI Explorer:ID管理

    ドキュメントセンター

    OpenAPI Explorer:ID管理

    最終更新日:Mar 04, 2025

    Alibaba Cloudアカウントとクラウド リソースのセキュリティを確保するために、特に必要がない限り、Alibaba Cloudアカウントを使用してAlibaba Cloudサービスにアクセスしないでください。Resource Access Management(RAM)ユーザーとして、またはRAMロールを引き受けることで、Alibaba Cloudサービスにアクセスすることをお勧めします。

    RAMユーザー

    RAMユーザーは、Alibaba Cloudアカウント、管理者権限を持つRAMユーザー、または管理者権限を持つRAMロールによって作成されます。RAMユーザーに必要な権限が付与されると、RAMユーザーはAlibaba Cloud管理コンソールにログオンするか、API操作を呼び出して、RAMユーザーが属するAlibaba Cloudアカウント内のリソースにアクセスできます。

    以下の点にご注意ください。

    • Alibaba Cloudアカウントを使用してRAMユーザーを作成し、そのRAMユーザーに管理者権限を付与します。その後、そのRAMユーザーとして他のRAMユーザーを作成および管理できます。

    • 個人のRAMユーザーとプログラムのRAMユーザーを区別します。

      [RAMコンソール] または [API操作を呼び出す] ことでRAMユーザーを作成できます。RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。API操作を呼び出す場合は、AccessKeyペアを指定する必要があります。誤操作を防ぐために、個人のRAMユーザーとプログラムのRAMユーザーを区別することをお勧めします。RAMコンソールを使用する場合は、セキュリティを強化するために多要素認証(MFA)を有効にすることをお勧めします。

    • 最小権限の原則に基づいてRAMユーザーに権限を付与します。

      最小権限とは、操作を実行するために必要な最小限の権限のことです。最小権限は、データ セキュリティを向上させ、権限の乱用を防ぎます。

    • AccessKey IDまたはAccessKeyシークレットをコードに埋め込まないでください。埋め込むと、AccessKeyペアが漏洩し、アカウント内のすべてのリソースのセキュリティ リスクが高まる可能性があります。Security Token Service(STS)を使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。

    • RAMユーザーに対してシングル サインオン(SSO)を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloud管理コンソールにログオンしてAlibaba Cloudリソースにアクセスできるようにします。

    関連操作

    RAMユーザー グループ

    Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合は、権限管理を容易にするためにRAMユーザーをグループ化できます。たとえば、同じRAMユーザー グループ内のRAMユーザーに同じ権限を付与できます。以下の点にご注意ください。

    • 最小権限の原則に基づいてRAMユーザー グループに権限を付与します。

    • RAMユーザーの職務が変更された場合は、RAMユーザー グループからRAMユーザーを削除します。

    • RAMユーザー グループに付与された権限が不要になった場合は、権限を取り消します。

    関連操作

    RAMロール

    RAMロールは、ポリシーをアタッチできる仮想IDです。RAMロールには、ログオン パスワードやAccessKeyペアなどの永続的なID認証情報がありません。RAMロールは、信頼できるエンティティがロールを引き受けた後にのみ使用できます。RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service(STS)トークンを取得できます。その後、信頼できるエンティティはSTSトークンを使用してRAMロールとしてAlibaba Cloudリソースにアクセスできます。

    以下の点にご注意ください。

    • RAMロールの作成後に、RAMロールの信頼できるエンティティを頻繁に変更しないでください。RAMロールの信頼できるエンティティを変更すると、権限が失われ、ビジネスに影響を与える可能性があります。信頼できるエンティティを追加すると、権限昇格によりセキュリティ リスクが発生する可能性があります。変更をRAMロールに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼できるエンティティのRAMユーザーに必要な権限が付与されると、信頼できるエンティティはAssumeRole操作を呼び出してSTSトークンを取得できます。このトークンを使用してRAMロールを引き受けることができます。詳細については、「AssumeRole」をご参照ください。STSトークンは限られた期間だけ有効です。セキュリティ リスクを軽減するために、有効期間を適切な値に設定することをお勧めします。

      説明

      STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。セキュリティ リスクを軽減するために、RAMロールに適切なセッション期間を指定することをお勧めします。

    • RAMロールに対してSSOを有効にして、RAMロールが企業のID管理システムからAlibaba Cloud管理コンソールにログオンしてAlibaba Cloudリソースにアクセスできるようにします。

    関連操作

    参照