このトピックでは、Resource Access Management (RAM) の一般的なシナリオについて説明し、クラウド ID と権限を安全かつ効率的に管理するのに役立ちます。
運用管理シナリオ
1. 企業の従業員に権限を割り当てる
シナリオの説明:
単一の Alibaba Cloud アカウントを複数の従業員で共有すると、追跡不可能な操作や過剰な権限などのセキュリティリスクが生じます。これらのリスクを軽減するには、職務上の責任と必要なクラウドリソースに基づいて権限を割り当てる必要があります。
ソリューション:
従業員ごとに独立した Resource Access Management (RAM) ユーザーを作成できます。次に、開発、テスト、運用保守 (O&M) などの職務上の責任に基づいて、必要最小限の権限を付与します。同じ職務機能を持つユーザーをユーザーグループに追加して、権限をバッチで管理し、効率を向上させることもできます。
主なメリット:
明確な説明責任: 各従業員は独立した ID を使用してログインし、操作を実行します。すべての操作は監査および追跡できます。
セキュリティとコンプライアンス: 詳細な権限管理により、過剰な権限や共有 ID から生じるセキュリティリスクが軽減されます。これにより、企業のセキュリティおよびコンプライアンス要件を満たすことができます。
例:
仮想マシン O&M エンジニアやネットワーク O&M エンジニアなど、さまざまな O&M エンジニアにさまざまなシステムアクセスポリシーを割り当てることができます。詳細については、「RAM を使用して複数の O&M エンジニアの権限を制御する」をご参照ください。
さまざまなビジネスシナリオに合わせてカスタムポリシーを定義し、適用できます。詳細については、「ECS のカスタムポリシー」をご参照ください。
リクエストソースやリソースタグなどのアクセス条件に基づいてカスタムポリシーを構成できます。詳細については、「指定された IP アドレスから Alibaba Cloud にアクセスする」をご参照ください。
2. プロジェクトまたは環境ごとにリソースを分離して権限を付与する
シナリオの説明:
単一の Alibaba Cloud アカウントで、プロジェクト A やプロジェクト B などの複数のプロジェクト、または開発環境や本番環境などの複数の環境を実行します。プロジェクト A の開発者がプロジェクト B のリソースにアクセスできないようにする必要があります。また、すべての開発者が本番環境でリソースを操作できないようにする必要もあります。
ソリューション:
リソースグループベースの権限付与を使用できます。プロジェクトまたは環境ごとにリソースグループを作成します。次に、ポリシー条件を使用して、ユーザーが特定のリソースグループ内のリソースにのみアクセスできるように制限します。
主なメリット:
明確な責任の境界: リソースグループ機能を使用して、プロジェクトまたは環境ごとに権限を分割できます。これにより、チームメンバーは自分が担当するリソースにのみアクセスできるようになり、責任の境界が明確になります。
詳細なコスト管理: リソースグループ別にリソースを管理することは、正確なコスト配分の基礎にもなります。
詳細情報: リソースのグループ化と権限付与
3. クロスアカウントのリソースコラボレーションと権限付与を有効にする
シナリオの説明:
企業は、パートナーや子会社など、他の Alibaba Cloud アカウントに安全に権限を付与する必要があります。これにより、AccessKey ペアを直接共有することなく、企業のアカウント内にある一部のクラウドリソースにアクセスしたり、管理したりできます。
ソリューション:
RAM ロールを構成して、安全なクロスアカウント認証を有効にすることができます。信頼できるアカウントには、権限付与者の AccessKey ペアは必要ありません。リソースにアクセスするには、ロールを偽装するだけで済みます。
主なメリット:
安全で制御可能: RAM ロールを使用して、安全なクロスアカウント認証を有効にすることができます。信頼できるアカウントには、お客様の AccessKey ペアは必要ありません。許可された範囲内でリソースにアクセスするために付与したロールを偽装するだけで済みます。
柔軟な権限管理: いつでもロールの権限を調整したり、権限付与を取り消したりして、安全で制御可能なリソース共有とコラボレーションを確保できます。
詳細なコントロール: パートナーごとに異なるロールを作成し、異なる権限範囲を付与して、詳細な管理を実現できます。
4. Alibaba Cloud 管理コンソールへのパスワードなしのログインを有効にする
シナリオの説明:
Alibaba Cloud 管理コンソールに頻繁にログインする O&M エンジニアは、指紋や顔認識などのデバイスの生体認証機能を使用するなど、従来のパスワードログインに代わる、より安全で便利な方法を求めている場合があります。
ソリューション:
パスキーを有効にして使用することで、パスワードなしのログインが可能です。
パスキーは、携帯電話やコンピューターなどの個人用デバイス、または専用のハードウェアで保護されたキーにログインキーを保存する安全なデジタル認証情報です。パスキーを有効にすると、Alibaba Cloud 管理コンソールへのログインにパスワードは不要になります。認証は、指紋や Face ID などのデバイスの生体認証機能、またはデバイスの PIN を使用して、迅速かつ安全に完了します。
主なメリット:
パスワードのリスクを排除: パスワードを記憶したり入力したりする必要がありません。これにより、パスワードの漏洩や弱いパスワードなどのセキュリティリスクを回避できます。
ログインエクスペリエンスの向上: 生体認証またはハードウェアで保護されたキーを使用すると、ログインプロセスがより速く、より便利になります。
セキュリティの強化: 標準的な公開鍵暗号化技術に基づき、パスキーは効果的なフィッシング対策の ID 検証を提供します。これは従来のパスワードよりも安全です。
詳細情報: パスキーとは
5. エンタープライズ ID システムと統合してシングルサインオン (SSO) を有効にする
シナリオの説明:
企業は、従業員が Active Directory、Microsoft Entra ID、Okta などの既存のエンタープライズ ID システムを使用して Alibaba Cloud に直接ログインできるようにしたいと考えています。目標は、統合された ID 管理とシングルサインオン (SSO) を実現し、複数のユーザー名とパスワードのセットを維持することを避けることです。
ソリューション:
ロールベース SSO またはユーザーベース SSO を構成して、エンタープライズ ID プロバイダー (IdP) を Alibaba Cloud と統合できます。
注: 企業が リソースディレクトリ を使用して複数の Alibaba Cloud アカウントを管理している場合、CloudSSO を使用して、複数のアカウントにわたる統合された ID とアクセスの管理を行うことができます。
主なメリット:
簡素化されたログイン: 従業員は ID プロバイダー (IdP) ポータルに一度ログインするだけで、Alibaba Cloud や IdP を信頼する他のアプリケーションにアクセスできます。複数のユーザー名とパスワードのセットを維持する必要はありません。
一元化されたセキュリティポリシー: 多要素認証 (MFA)、パスワードポリシー、IP アドレス制限などのエンタープライズセキュリティポリシーは、IdP レベルで一元的に構成および適用されます。
一元化された管理と監査: 企業の既存の ID 管理プラットフォームを通じて、ユーザー権限を一元的に構成および取り消すことができます。これにより、従業員のオンボーディングとオフボーディングがクラウドの権限と同期され、管理コストとコンプライアンスリスクが削減されます。
アプリケーション開発シナリオ
1. Alibaba Cloud 上のアプリケーションが Alibaba Cloud リソースにアクセスする
シナリオの説明:
ECS インスタンス、ACK コンテナークラスター、または Function Compute (FC) など、Alibaba Cloud にデプロイされたアプリケーションやサービスは、Alibaba Cloud API を安全に呼び出す必要があります。これは、OSS からの読み取りや書き込み、RDS のクエリなど、他のクラウドリソースにアクセスするために行われます。同時に、コードや構成に AccessKey ペアをハードコーディングすることは避ける必要があります。
ソリューション:
AK フリーソリューションを使用して、セキュリティトークンサービス (STS) トークンを取得し、それを使用して Alibaba Cloud API を呼び出すことができます。アプリケーションのデプロイメント環境に基づいて、適切な AK フリーソリューションを選択できます。
アプリケーションデプロイメント環境 | 推奨される AK フリーソリューション | コアメカニズム |
Elastic Compute Service | ECS インスタンスのインスタンス RAM ロール | アプリケーションは ECS インスタンスのメタデータサービスにアクセスして、インスタンスにアタッチされたロールの一時的な認証情報を自動的に取得します。 |
コンテナークラスター (ACK) | RAM Roles for Service Accounts (RRSA) | Pod 内のアプリケーションは OpenID Connect (OIDC) トークンを使用してロールを偽装し、一時的な認証情報を取得します。 |
Function Compute (FC) | Function Compute の RAM ロール | 関数が実行されると、ランタイム環境は関数に関連付けられたロールの一時的な認証情報を自動的に挿入します。 |
コアバリュー:
アプリケーションセキュリティの向上: ECS インスタンスなどの計算リソースに RAM ロールを付与できます。これにより、アプリケーションは一時的なアクセス認証情報を自動的に取得して、他の Alibaba Cloud サービスにアクセスできます。
キー管理の簡素化: コードや構成で AccessKey ペアをハードコーディングしたり管理したりすることを回避できます。これにより、キー漏洩のリスクが軽減され、O&M が簡素化されます。
認証情報の自動ローテーション: 一時的な認証情報は自動更新されるため、手動での認証情報ライフサイクル管理が不要になります。
例:
上記の AK フリーソリューションが適用できない場合は、システム環境変数に AccessKey ペアを構成できます。また、AccessKey ペアのネットワークアクセス制限ポリシーを構成して、その使用を信頼できるネットワーク環境に制限する必要もあります。
2. Alibaba Cloud 上にないアプリケーションが Alibaba Cloud リソースにアクセスする
シナリオの説明:
アプリケーションは、自己管理のデータセンターや他のクラウドプラットフォームなど、Alibaba Cloud 以外の環境にデプロイされます。クラウドリソースにアクセスするには、Alibaba Cloud API を呼び出す必要があります。
ソリューション:
アプリケーションが Okta などの OpenID Connect (OIDC) ID プロバイダー (IdP) と統合されている場合は、Alibaba Cloud セキュリティトークンサービス (STS) の AssumeRoleWithOIDC 操作を使用できます。この操作は、RAM ロールを偽装して一時的な認証情報を取得します。アプリケーションが IdP によって認証された後、取得した OIDC トークンを使用して操作を呼び出し、一時的な Alibaba Cloud 認証情報と交換します。その後、アプリケーションはこれらの認証情報を使用して Alibaba Cloud リソースにアクセスします。このソリューションでは、プログラムに AccessKey ペアを保存したり使用したりする必要はありません。
上記のソリューションが適用できない場合は、システム環境変数に AccessKey ペアを構成できます。また、AccessKey ペアのネットワークアクセス制限ポリシーを構成して、その使用を信頼できるネットワーク環境に制限する必要もあります。
例:
Okta 上のアプリケーションがロールベース SSO (AssumeRoleWithOIDC) を介して Alibaba Cloud リソースにアクセスする: OIDC を使用したロールベース SSO の例。
AccessKey ペアを使用して OSS にファイルをアップロードする: RAM ユーザーの AccessKey ペアを使用して OSS にアクセスする。
参考資料
STS および STS トークンの詳細については、「STS とは」をご参照ください。