Resource Access Management ( RAM ) を使用して、異なる RAM ユーザーに異なる権限を付与できます。これにより、Alibaba CloudアカウントのAccessKeyペアの漏洩によるセキュリティリスクを防ぐことができます。
シナリオ
次の例は、RAM を使用してアクセス制御を実装する方法を示しています。
RAM ユーザーを使用して権限を管理する
企業 A はプロジェクトをクラウドに移行したいと考えています。この企業は、Elastic Compute Service ( ECS ) インスタンス、ApsaraDB RDSインスタンス、Server Load Balancer ( SLB ) インスタンス、Object Storage Service ( OSS ) バケットなど、いくつかの種類のAlibaba Cloudサービスを購入しています。複数の従業員がこれらのクラウド リソースを管理する必要があり、従業員ごとに職務を遂行するために必要な権限が異なります。企業 A には次の要件があります。
セキュリティ上の理由から、企業 A はAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。代わりに、企業 A は従業員のために RAM ユーザーを作成し、これらの RAM ユーザーに異なる権限を付与したいと考えています。
従業員は、対応する権限が付与された後でのみ、RAM ユーザーとしてリソースに対する操作を実行できます。企業 A は、RAM ユーザーに付与された権限を取り消し、いつでも RAM ユーザーを削除できます。
RAM ユーザーに対して請求は発生しません。RAM ユーザーが使用するリソースは、企業 A のAlibaba Cloudアカウントで使用されるリソースの一部として測定され、課金されます。
この場合、RAM の承認管理機能を使用して、RAM ユーザーに異なる権限を付与し、リソースを一元的に管理できます。
RAM ロールを使用して別のAlibaba Cloudアカウントに属するリソースにアクセスする
企業 A と企業 B は異なるAlibaba Cloudアカウントを持っています。企業 A は、ECS インスタンス、ApsaraDB RDS インスタンス、SLB インスタンス、OSS バケットなど、さまざまなAlibaba Cloudリソースを購入しており、次の要件があります。
企業 A は、クラウド リソースの O&M、監視、管理などのタスクを企業 B に委託したいと考えています。
企業 B は、企業 A が所有するクラウド リソースへのアクセス権限を 1 人以上の従業員に付与できます。企業 B は、企業 A のクラウド リソースに対してきめ細かいアクセス制御を実装できます。
いずれかの当事者が委託契約を終了した場合、企業 A は企業 B に付与された権限をいつでも取り消すことができます。
この場合、RAM ロールを RAM ユーザーに割り当てて権限を付与し、Alibaba Cloudアカウント間でアクセス制御を実装できます。