すべてのプロダクト
Search

このプロダクト

    Managed Service for Prometheus:RAM ユーザーを使用して権限を管理する

    ドキュメントセンター

    Managed Service for Prometheus:RAM ユーザーを使用して権限を管理する

    最終更新日:Jan 22, 2025

    Resource Access Management (RAM) の RAM ユーザー機能を使用すると、権限を分割し、必要に応じて RAM ユーザーに異なる権限を付与し、Alibaba Cloud アカウントキーの漏洩によるセキュリティリスクを回避できます。

    背景情報

    セキュリティ上の理由から、Alibaba Cloud アカウントの RAM ユーザーを作成し、必要に応じてこれらの RAM ユーザーに異なる権限を付与できます。このようにして、Alibaba Cloud アカウントのキーを公開することなく、RAM ユーザーが自分の職務を実行できるようにすることができます。このトピックでは、企業 A が一部の従業員に日常的な O&M タスクを処理させたい場合、企業 A は RAM ユーザーを作成し、対応する権限を RAM ユーザーに付与できます。その後、従業員はこれらの RAM ユーザーを使用してコンソールにログオンしたり、API オペレーションを呼び出したりできます。

    Application Real-Time Monitoring Service (ARMS) は、フルパーミッションまたは読み取り専用パーミッションを付与するための 2 つのシステムポリシーを提供します。ビジネス要件に基づいてシステムポリシーを選択できます。

    • AliyunARMSFullAccess: ARMS に対するフルパーミッションを RAM ユーザーに付与します。RAM ユーザーは、すべてのサブサービスのインスタンスを表示、編集、または削除できます。

      説明

      AliyunARMSFullAccess ポリシーを RAM ユーザーにアタッチした後、AliyunARMSReadOnlyAccess ポリシーを RAM ユーザーにアタッチする必要はありません。

    • AliyunARMSReadOnlyAccess: ARMS に対する読み取り専用パーミッションを RAM ユーザーに付与します。RAM ユーザーは各サブサービスのインスタンス情報を表示できますが、情報を変更または削除することはできません。

      重要

      特定のリソースグループにすべての ARMS 機能に対する読み取り専用パーミッションを付与するには、AliyunARMSReadOnlyAccess ポリシーをリソースグループにアタッチし、ReadTraceApp パーミッションをリソースグループに付与する必要があります。そうしないと、ARMS は認証されたリソースグループに属するアプリケーションリストを表示できません。

    前提条件

    手順 1: RAM ユーザーを作成する

    手順

    1. 管理者権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、ID > ユーザー を選択します。

    3. ユーザー ページで、ユーザーの作成 をクリックします。 image

    4. ユーザーアカウント情報ユーザーの作成 ページの セクションで、次のパラメータを設定します。

      • ログオン名: ログオン名は最大 64 文字で、文字、数字、ピリオド (.)、ハイフン (-)、アンダースコア (_) を使用できます。

      • 表示名: 表示名は最大 128 文字です。

      • タグ: edit アイコンをクリックし、タグキーとタグ値を入力します。RAM ユーザーに 1 つ以上のタグを追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。

      説明

      ユーザーを追加 をクリックすると、複数の RAM ユーザーを一度に作成できます。

    5. アクセスモード セクションで、アクセスモードを選択し、必要なパラメータを設定します。

      Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーには 1 つのアクセスモードのみを選択することをお勧めします。このようにして、個人の RAM ユーザーはプログラムの RAM ユーザーから分離されます。

      • コンソールアクセス

        RAM ユーザーが個人を表す場合、RAM ユーザーにはコンソールアクセスを選択することをお勧めします。このようにして、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメータを設定する必要があります。

        • コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。カスタムパスワードのリセットを選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、RAM ユーザーのパスワードポリシーを設定する を参照してください。

        • パスワードのリセット: 次のログオン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。

        • MAF を有効にする: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、MFA デバイスを RAM ユーザーにバインドする を参照してください。

      • 永続的な Accesskey を使用してアクセスする

        RAM ユーザーがプログラムを表す場合、RAM ユーザーには 永続的な AccessKey を使用してアクセスする を選択できます。このようにして、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、AccessKey ペアを取得する を参照してください。

        重要

        • RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。

        • AccessKey ペアは、アプリケーションアクセスのための永続的な認証情報です。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、Security Token Service (STS) トークンを使用することをお勧めします。詳細については、アクセス認証情報を使用して API オペレーションを呼び出すためのベストプラクティス を参照してください。

    6. OK をクリックします。

    7. プロンプトに従ってセキュリティ検証を完了します。

    手順 2: RAM ユーザーに権限を付与する

    1. RAM 管理者として RAM コンソール にログオンします。

    2. 左側のナビゲーションペインで、ID > ユーザー を選択します。

    3. ユーザー ページで、必要な RAM ユーザーを見つけ、アクセス許可を追加アクション 列の をクリックします。

      image

      複数の RAM ユーザーを選択し、ページの下部にある 権限の追加 をクリックして、一度に RAM ユーザーに権限を付与することもできます。

    4. 権限の付与 パネルで、RAM ユーザーに権限を付与します。

      1. リソーススコープ パラメータを設定します。

      2. プリンシパルパラメータを設定します。

        プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。

      3. ポリシーパラメータを設定します。

        ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。

        • システムポリシー: Alibaba Cloud によって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、RAM で動作するサービス を参照してください。

          説明

          システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして不要な権限を付与しないことをお勧めします。

        • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーを作成、更新、および削除できます。詳細については、カスタムポリシーを作成する を参照してください。

      4. 権限の付与 をクリックします。

    5. 閉じる をクリックします。

    次のステップ

    Alibaba Cloud アカウントを使用して RAM ユーザーを作成した後、RAM ユーザーのログオン名とパスワードまたは AccessKey ペアを他のユーザーと共有できます。ユーザーは次の手順を実行して、Alibaba Cloud マネジメントコンソールにログオンしたり、RAM ユーザーとして API オペレーションを呼び出したりできます。

    Alibaba Cloud マネジメントコンソールにログオンする

    1. RAM ユーザーとして Alibaba Cloud マネジメントコンソール にログオンします。

    2. RAM ユーザーログオン ページで、RAM ユーザーのユーザー名を入力し、次へ をクリックします。 image

      • ログオン名 1: デフォルトのドメイン名。RAM ユーザーのログオン名の形式は <UserName>@<AccountAlias>.onaliyun.com です (例: username@company-alias.onaliyun.com)。

        説明

        <UserName> は RAM ユーザーのユーザー名を示します。<AccountAlias>.onaliyun.com はデフォルトのドメイン名を示します。詳細については、用語 および デフォルトのドメイン名を表示および変更する を参照してください。

      • ログオン名 2: アカウントエイリアス。RAM ユーザーのログオン名の形式は <UserName>@<AccountAlias> です (例: username@company-alias)。

        説明

        <UserName> は RAM ユーザーのユーザー名を示します。<AccountAlias> はアカウントエイリアスを示します。詳細については、用語 および デフォルトのドメイン名を表示および変更する を参照してください。

      • ログオン名 3: ドメインエイリアス。ドメインエイリアスを設定した場合、このログオン名を使用できます。RAM ユーザーのログオン名の形式は <UserName>@<DomainAlias> です (例: username@example.com)。

        説明

        <UserName> は RAM ユーザーのユーザー名を示します。<DomainAlias> はドメインエイリアスを示します。詳細については、用語 および ドメインエイリアスを作成および検証する を参照してください。

    3. ログオンパスワードを入力し、ログオン をクリックします。

    4. オプション。多要素認証 (MFA) が有効になっている場合は、認証を通過します。

      詳細については、MFA および MFA デバイスを RAM ユーザーにバインドする を参照してください。

    RAM ユーザーの AccessKey ペアを使用して API オペレーションを呼び出す

    API オペレーションを呼び出すときは、コードに RAM ユーザーの AccessKey ID と AccessKey シークレットを指定します。