このトピックでは、Resource Access Management (RAM) で AccessKey ペアを作成し、その情報を表示・取得し、それを使用して Alibaba Cloud リソースにアクセスする方法を説明します。このトピックでは、Alibaba Cloud CLI を例として使用します。
ベストプラクティスとして、長期的な AccessKey ペアを直接使用して Alibaba Cloud リソースにアクセスすることは避けてください。詳細については、「マシン ID のベストプラクティス」をご参照ください。
AccessKey ペアとは
AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。AccessKey ペアは主に、アプリケーションやサービスが Alibaba Cloud API を呼び出す際に、その ID を認証するために使用されます。
AccessKey ペアは特定の RAM ユーザーに関連付けられた長期的な認証情報です。長期的な認証情報であるため、漏洩すると高いセキュリティリスクをもたらします。
操作手順
指定された RAM ユーザーの AccessKey ペアを作成します。
Alibaba Cloud CLI を設定し、AccessKey ペアを使用して API を直接または間接的に呼び出します。
ローカルの認証情報設定を削除し、AccessKey ペアを無効化して削除します。
前提条件
RAM ユーザーを作成する。 Alibaba Cloud アカウントを使用して AccessKey ペアを作成しないでください。
RAM ユーザーに
AliyunRAMFullAccessシステムポリシーがアタッチされていること。このチュートリアル完了後、ポリシーを削除してください。
AccessKey ペアの作成
(RAM コンソール) にログインします。左側のナビゲーションウィンドウで、 を選択します。
対象の RAM ユーザーを見つけ、そのユーザー名をクリックします。
[認証] タブの [AccessKey] セクションで、[AccessKey の作成] をクリックします。
説明各 RAM ユーザーは最大 2 つの AccessKey ペアを持つことができます。1 つはアクティブな使用のため、2 つ目は AccessKey ペアをローテーションする必要がある場合にのみ作成してください。現在の RAM ユーザーが上限に達している場合は、別の RAM ユーザーの AccessKey ペアを作成するか、安全であることを確認した上で未使用の AccessKey ペアを削除してください。
表示される確認ダイアログボックスで、[CLI] を選択し、[AccessKey の作成が必要であることを確認します] を選択してから、[続行] をクリックします。
画面の指示に従って、多要素認証 (MFA) を完了します。
[AccessKey の作成] ダイアログボックスで、[CSV ファイルのダウンロード] をクリックして AccessKey ID と AccessKey Secret を保存します。その後、[OK] をクリックします。
重要AccessKey Secret は作成時にのみ表示され、後から取得することはできません。安全な場所に保管してください。
AccessKey ペアを使用した API の呼び出し
このトピックでは、AccessKey ペアの使用方法の例として Alibaba Cloud CLI を使用します。コード内で AccessKey ペアを使用する方法については、以下のリファレンスをご参照ください:
「アクセス認証情報の管理」トピックの「方法 2:AccessKey ペアの使用」および「方法 4:AccessKey ペアと RAM ロールの使用」セクション
AccessKey ペアの直接使用
この方法はシンプルですが、クライアントに AccessKey ペアを直接設定するため、キーのハードコーディングや過剰な権限付与などのリスクがあります。本番環境での使用は推奨されません。
AccessKey ペアを所有する RAM ユーザーに
AliyunRAMReadOnlyAccessポリシーをアタッチして、RAM への読み取り専用アクセス権を付与します。(RAM コンソール) にログインします。左側のナビゲーションウィンドウで、 を選択します。
対象の RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、
AliyunRAMReadOnlyAccessシステムポリシーを検索して選択し、[権限を付与] をクリックします。
[ユーザー] ページに戻り、対象の RAM ユーザー名をクリックします。[ タブで、
AliyunRAMReadOnlyAccessポリシーが表示されていることを確認します。
ローカルのターミナルを開き、次のコマンドを実行して対話形式で認証情報を設定します。
aliyun configure --profile AkProfileコマンドラインプロンプトに従って、「AccessKey ペアの作成」ステップで保存した AccessKey ID と AccessKey Secret を入力します。その後、リージョンと言語を設定します。
Configuring profile 'AkProfile' in 'AK' authenticate mode... Access Key Id []: <yourAccessKeyID> Access Key Secret []: <yourAccessKeySecret> Default Region Id []: cn-shanghai Default Output Format [json]: json (Only support json) Default Language [zh|en] en: en Saving profile[AkProfile] ...Done.AccessKey ペアとその他の設定が正しい場合、ターミナルに次の出力が返されます。エラーが発生した場合は、キャッシュされた Alibaba Cloud CLI 認証情報を削除し、設定を確認してから、ステップ 2 のコマンドを再度実行してください。
Configure Done!!! ..............888888888888888888888 ........=8888888888888888888D=.............. ...........88888888888888888888888 ..........D8888888888888888888888I........... .........,8888888888888ZI: ...........................=Z88D8888888888D.......... .........+88888888 ..........................................88888888D.......... .........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D.......... .........+88888888 ............. ************* ..............O8888888D.......... .........+88888888 .... Command Line Interface(Reloaded) ....O8888888D.......... .........+88888888...........................................88888888D.......... ..........D888888888888DO+. ..........................?ND888888888888D.......... ...........O8888888888888888888888...........D8888888888888888888888=........... ............ .:D8888888888888888888.........78888888888888888888O ..............次のコマンドを実行して、API 呼び出しをテストします。
aliyun ram ListUsers --profile AkProfile設定が正しい場合、コマンドは RAM ユーザーのリストを返します。出力は次のようになります:
{ "IsTruncated": false, "RequestId": "B3CDEF9E-A3F4-58B0-80BE-54576991****", "Users": { "User": [ { "Comments": "", "CreateDate": "2025-10-29T02:47:52Z", "DisplayName": "username", "UpdateDate": "2025-10-29T02:47:52Z", "UserId": "20376656170607****", "UserName": "username" }, ... ] } }
AccessKey ペアの間接的な使用
この方法では、AccessKey ペアを使用して一時的な Security Token Service (STS) トークンを取得し、それを使用して API を呼び出します。この方法は設定がより複雑ですが、長期的な AccessKey ペアが漏洩するリスクを低減します。また、RAM ロールを介して動的に権限を付与できるため、より安全なアプローチです。
RAM ユーザーに
AliyunSTSAssumeRoleAccessポリシーをアタッチして、STS サービスの AssumeRole 操作を呼び出す権限を付与します。(RAM コンソール) にログインします。左側のナビゲーションウィンドウで、 を選択します。
対象の RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、
AliyunSTSAssumeRoleAccessシステムポリシーを検索して選択し、[権限を付与] をクリックします。
[ユーザー] ページに戻り、対象の RAM ユーザー名をクリックします。[ タブで、
AliyunSTSAssumeRoleAccessポリシーが表示されていることを確認します。
RAM ロールを作成し、その Alibaba Cloud リソースネーム (ARN) を取得します。
RAM コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルタイプ] を [クラウドアカウント] に設定し、Alibaba Cloud アカウントを指定してから、[OK] をクリックします。
[ロールの作成] ダイアログボックスで、
cli-test-roleなどのロール名を入力します。[OK] をクリックします。ロールの詳細ページで、[基本情報] セクションの ARN を見つけ、[コピー] をクリックします。
RAM ロールに
AliyunRAMReadOnlyAccessポリシーをアタッチして、RAM への読み取り専用アクセス権を付与します。[ロール] ページで、[操作] 列の [権限の付与] をクリックし、ステップ 1 と同じ方法で権限を設定します。
ローカルのターミナルを開き、次のコマンドを実行して対話形式で認証情報を設定します。
aliyun configure --profile RamRoleArnProfile --mode RamRoleArnコマンドラインプロンプトに従って、「AccessKey ペアの作成」ステップで保存した AccessKey ID と AccessKey Secret、および ステップ 2 で取得した RAM ロールの ARN を入力します。その他の設定については、次の例をご参照ください。
Configuring profile 'RamRoleArnProfile' in 'RamRoleArn' authenticate mode... Access Key Id []: <yourAccessKeyID> Access Key Secret []: <yourAccessKeySecret> Sts Region []: cn-shanghai Ram Role Arn []: acs:ram::012345678910****:role/cli-test-role Role Session Name []: cli-test-role External ID []: abcd1234 Expired Seconds [900]: 900 Default Region Id []: cn-shanghai Default Output Format [json]: json (Only support json) Default Language [zh|en] en: en Saving profile[RamRoleArnProfile] ...Done.AccessKey ペアとその他の設定が正しい場合、ターミナルに次の出力が返されます。エラーが発生した場合は、キャッシュされた Alibaba Cloud CLI 認証情報を削除し、設定を確認してから、ステップ 4 のコマンドを再度実行してください。
Configure Done!!! ..............888888888888888888888 ........=8888888888888888888D=.............. ...........88888888888888888888888 ..........D8888888888888888888888I........... .........,8888888888888ZI: ...........................=Z88D8888888888D.......... .........+88888888 ..........................................88888888D.......... .........+88888888 .......Welcome to use Alibaba Cloud.......O8888888D.......... .........+88888888 ............. ************* ..............O8888888D.......... .........+88888888 .... Command Line Interface(Reloaded) ....O8888888D.......... .........+88888888...........................................88888888D.......... ..........D888888888888DO+. ..........................?ND888888888888D.......... ...........O8888888888888888888888...........D8888888888888888888888=........... ............ .:D8888888888888888888.........78888888888888888888O ..............次のコマンドを実行して、API 呼び出しをテストします。
aliyun ram ListUsers --profile RamRoleArnProfile設定が正しい場合、コマンドは RAM ユーザーのリストを返します。出力は次のようになります:
{ "IsTruncated": false, "RequestId": "B3CDEF9E-A3F4-58B0-80BE-54576991****", "Users": { "User": [ { "Comments": "", "CreateDate": "2025-10-29T02:47:52Z", "DisplayName": "username", "UpdateDate": "2025-10-29T02:47:52Z", "UserId": "20376656170607****", "UserName": "username" }, ... ] } }
認証情報の削除
キャッシュされた Alibaba Cloud CLI 認証情報の削除
ターミナルで、次のコマンドを実行してキャッシュされた認証情報を削除します。
「AccessKey ペアの直接使用」の手順に従った場合は、次のコマンドを実行します:
aliyun configure delete --profile AkProfile「AccessKey ペアの間接的な使用」の手順に従った場合は、次のコマンドを実行します:
aliyun configure delete --profile RamRoleArnProfile
AccessKey ペアの無効化と削除
(RAM コンソール) にログインします。左側のナビゲーションウィンドウで、 を選択します。
対象の RAM ユーザーを見つけ、そのユーザー名をクリックします。
AccessKey ペアの無効化:[認証] タブの [AccessKey] セクションで、対象の AccessKey ペアを見つけ、[操作] 列の [無効化] をクリックします。表示される [無効化] ダイアログボックスで、[無効化] をクリックします。
AccessKey ペアをごみ箱に移動:対象の AccessKey ペアを見つけ、[操作] 列の [削除] をクリックします。[削除] ダイアログボックスで、現在の AccessKey ID を入力し、[ごみ箱に移動] をクリックします。
AccessKey ペアの完全な削除:ユーザー詳細ページの [AccessKey ペアのごみ箱] セクションで、対象の AccessKey ペアを見つけ、[操作] 列の [削除] をクリックします。[削除] ダイアログボックスで、現在の AccessKey ID を入力し、[削除] をクリックします。
