すべてのプロダクト
Search

このプロダクト

    Resource Access Management:権限監査の概要

    ドキュメントセンター

    Resource Access Management:権限監査の概要

    最終更新日:Feb 21, 2025

    管理者は、RAM ユーザーや RAM ロールなどの Resource Access Management (RAM) ID に過剰な権限を付与してしまう可能性があります。権限監査機能を使用すると、RAM ID に付与されている権限と、RAM ID が最後に権限にアクセスした時刻を確認できます。前述の情報に基づいて未使用の権限を特定し、安全に取り消すことができます。このようにして、RAM ID の最小権限の原則が実現されます。

    使用上の注意

    権限監査機能を使用して RAM ID の権限を変更する前に、次の点に注意してください。

    追跡期間

    2024 年 2 月 1 日以降のアクセスリクエストのみが追跡されます。最終アクセス時刻のデータは最大 24 時間遅れる場合があります。

    アクセス試行

    リクエストが成功したかどうかにかかわらず、Alibaba Cloud サービスに対して行われたすべてのアクセス リクエストが記録されます。これらのリクエストには、Alibaba Cloud サービスのコンソールへのログイン試行、CLI または SDK を使用した Alibaba Cloud サービスへのアクセス、Alibaba Cloud サービスの API 操作の呼び出しが含まれます。権限監査機能によって検出された予期しないアクセス リクエストは、アクセス リクエストが拒否された可能性があるため、アカウントが侵害されていることを意味するものではありません。ActionTrail ログを確認して、アクセス リクエストの詳細を表示できます。

    レポート所有者

    権限監査レポートを生成したエンティティのみが、レポート内の権限アクセスレコードを表示できます。レポートが正常に生成されるまで、権限アクセスレコードは Alibaba Cloud 管理コンソールでは使用できません。API、SDK、または CLI を使用して権限アクセスレコードを表示するには、アクセス認証情報がレポート所有者のものと同じである必要があります。RAM ロールの Security Token Service (STS) 一時トークンを使用してレポートを生成する場合は、そのロールの一時 STS トークンを使用して権限アクセスレコードを表示する必要があります。

    サポートされているポリシー

    権限監査機能は、RAM ユーザー、RAM ユーザーグループ、および RAM ロールにアタッチされているポリシーである ID ベースのポリシーのみを分析します。権限監査機能は、Object Storage Service (OSS) バケットポリシー、リソースディレクトリのコントロールポリシー、セッションポリシーなどのリソースベースのポリシーを含む、他のタイプのポリシーは分析しません。

    サポートされている監査粒度

    • サービスレベル

      権限監査機能は、サービスレベルで RAM ID の権限アクセスレコードを分析します。RAM ID に Alibaba Cloud サービスで付与されている権限、RAM ID がアクセスした Alibaba Cloud サービス、および RAM ID が各 Alibaba Cloud サービスに最後にアクセスした時刻を表示できます。これは、不要なシステムポリシーを取り消したり、RAM ID の管理者権限を特定の Alibaba Cloud サービスの管理権限にダウングレードするかどうかを判断するのに役立ちます。

      権限監査機能でサポートされている Alibaba Cloud サービスの詳細については、「権限監査機能と連携するサービス」をご参照ください。

    • 操作レベル

      サービス粒度とは別に、権限監査機能は、より詳細な API 操作レベルで RAM ID の権限アクセスレコードも分析します。特定の API 操作で RAM ID に付与されている権限、RAM ID がアクセスした API 操作、および RAM ID が各 API 操作に最後にアクセスした時刻を表示できます。これは、アプリケーションに対して詳細な権限制御を実行し、高リスクの権限を制限するのに役立ちます。

      操作レベルの権限監査をサポートする Alibaba Cloud サービスの詳細については、「権限監査機能と連携するサービス」トピックで提供されている表をご参照ください。表では、監査粒度列の操作レベルの権限監査をサポートする Alibaba Cloud サービスに対して操作が表示されます。

      重要

      • 権限監査機能は、ActionTrail のコントロールプレーンに統合されている API 操作のみをサポートし、OSS の GetObject 操作など、Alibaba Cloud サービスのデータプレーンに保存されている API 操作はサポートしません。

      • さらに、権限監査機能は、ram:PassRole など、権限が付与されているが API に関連付けられていない操作はサポートしていません。

    権限監査機能がサポートしていないシナリオ

    一部のシナリオでは、Alibaba Cloud サービスは、呼び出し元の代わりに、他の Alibaba Cloud サービスに対する API 呼び出し元の権限を確認します。たとえば、呼び出し元が リソースセンター を使用して Alibaba Cloud サービスとリージョン全体のリソースを検索する場合、リソースセンターは呼び出し元に必要な Alibaba Cloud サービスのリソースを照会する権限があるかどうかを確認し、呼び出し元に権限があるリソースのみを返します。権限確認操作は、必要な Alibaba Cloud サービスで呼び出し元によって直接開始されるわけではないため、権限監査情報には含まれません。

    次の表に、前述の権限確認操作に関連する API 操作を示します。

    Alibaba Cloud サービス

    サービスコード

    API

    リソースセンター

    resourcecenter

    SearchResources

    GetResourceCounts

    GetResourceConfiguration

    ListResourceTypes

    ExecuteSQLQuery

    リソース管理

    resourcemanager

    ListResources

    タグサービス

    tag

    ListTagResources

    ListTagKeys

    ListTagValues

    RAM ユーザーの権限アクセスレコードを表示する

    1. 管理者権限を持つ RAM ユーザーとして RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、管理する RAM ユーザーのユーザー名をクリックします。

    4. ユーザー詳細ページで、[ポリシーアクセス (ベータ)] タブをクリックします。

      システムは RAM ユーザーの権限監査レポートの生成を開始します。レポートが正常に生成されるまで待ちます。

    5. 権限アクセスレコードを表示します。

      RAM ユーザーがアクセスできる Alibaba Cloud サービス、RAM ユーザーにアタッチされているポリシー、および RAM ユーザーが各 Alibaba Cloud サービスに最後にアクセスした時刻を表示できます。

      操作レベルの権限監査をサポートする Alibaba Cloud サービスの場合、[アクション] 列の [アクションを表示] をクリックして、許可されている API 操作のリストと、RAM ユーザーが各操作に最後にアクセスした時刻を表示できます。

      image

    RAM ロールの権限アクセスレコードを表示する

    1. 管理者権限を持つ RAM ユーザーとして RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、管理する RAM ロールの名前をクリックします。

    4. ロール詳細ページで、[ポリシーアクセス (ベータ)] タブをクリックします。

      システムは RAM ロールの権限監査レポートの生成を開始します。レポートが正常に生成されるまで待ちます。

      説明

      サービスロールは権限監査をサポートしていません。そのため、サービスロールには [ポリシーアクセス (ベータ)] タブは表示されません。

    5. 権限アクセスレコードを表示します。

      RAM ユーザーがアクセスできる Alibaba Cloud サービス、RAM ロールにアタッチされているポリシー、および RAM ユーザーが各 Alibaba Cloud サービスに最後にアクセスした時刻を表示できます。

      操作レベルの権限監査をサポートする Alibaba Cloud サービスの場合、[アクション] 列の [アクションを表示] をクリックして、許可されている API 操作のリストと RAM ユーザーが各操作に最後にアクセスした時刻を表示できます。

      image

    権限監査に関するよくある質問

    空の権限監査レポートが返された場合はどうすればよいですか?

    空の権限監査レポートは、さまざまな理由で返される場合があります。次の手順を実行して、問題のトラブルシューティングを行うことができます。

    1. ID ベースのポリシーが RAM ID にアタッチされているかどうかを確認します。RAM ユーザーの場合は、少なくとも 1 つのポリシーが RAM ユーザーにアタッチされているか、RAM ユーザーが RAM ユーザーグループからポリシーを継承していることを確認します。RAM ロールの場合は、少なくとも 1 つのポリシーが RAM ロールにアタッチされていることを確認します。

    2. RAM ID にアタッチされているポリシーが実際に承認されているかどうかを確認します。システムは、RAM ID にアタッチされているすべてのポリシーを分析し、RAM ID が実際にアクセス権限を持っている Alibaba Cloud サービスと API 操作を識別します。

    3. RAM ID がアクセス権限を持っている Alibaba Cloud サービスまたは API 操作が権限監査機能でサポートされているかどうかを確認します。詳細については、「権限監査機能と連携するサービス」をご参照ください。

    権限監査レポートを表示しようとすると InvalidParameter.Policy.Statement エラーが報告される場合はどうすればよいですか?

    このエラーは、ポリシーの形式が無効なために報告されます。ポリシー名とエラー原因も返されます。ポリシーの詳細を確認し、形式が正しくないコンテンツを修正してから、権限監査レポートを再度生成します。

    権限監査レポートを表示しようとすると InvalidParameter.Policy.NotAction エラーが報告される場合はどうすればよいですか?

    このエラーは、NotAction 要素の形式が無効なために報告されます。分析できないポリシーの名前も返されます。ポリシーの詳細を確認し、要素に有効な値を指定してから、権限監査レポートを再度生成します。

    権限監査レポートを表示しようとすると LengthExceedLimit.Policy エラーが報告される場合はどうすればよいですか?

    このエラーは、アタッチされたポリシーのドキュメントが大きすぎて分析できないために報告されます。分析できないポリシーの名前も返されます。この問題を解決するには、ポリシーをステートメントで分割し、権限監査レポートを再度生成します。

    関連情報

    • 権限監査機能と監査粒度でサポートされている Alibaba Cloud サービスの詳細については、「権限監査機能と連携するサービス」をご参照ください。

    • 過剰権限アナライザーを使用して、リソースディレクトリまたは現在の Alibaba Cloud アカウントで過剰な権限を持つ RAM ID を継続的に検出できます。詳細については、「過剰な権限を持つ ID を特定する」をご参照ください。