Resource Access Management (RAM) は、Alibaba Cloud リソースへのアクセスを安全に制御するための Web サービスです。RAM を使用すると、ユーザー、AccessKey ペアなどのセキュリティ認証情報、およびユーザーやアプリケーションがどのクラウドリソースにアクセスできるかを制御する権限を一元的に管理できます。
課金
RAM は無料で利用できます。 デフォルトで有効になっており、無効にすることはできません。
RAM を使用する理由
初めて Alibaba Cloud アカウントを作成すると、アカウント内のすべてのサービスとリソースへの完全なアクセス権を持つ単一の ID が作成されます。このアカウントの認証情報を日常業務で共有すると、いくつかのセキュリティリスクが生じます:
過剰な権限とセキュリティリスク:Alibaba Cloud アカウントは無制限の権限を持っています。アカウントの認証情報が漏洩すると、クラウドリソースが深刻なセキュリティリスクにさらされます。
説明責任の欠如:すべての操作ログは Alibaba Cloud アカウントに帰属します。セキュリティインシデントが発生した場合、特定のアクションを個人に追跡することができず、セキュリティ監査と説明責任が効果的に機能しません。
最小権限の原則への違反:財務スタッフに「請求情報の閲覧のみ」の権限を付与したり、開発者に「特定の環境でのみ操作する」権限を付与したりすることができません。これは最小権限の原則 (PoLP) に違反します。
セキュリティのベストプラクティスとして、日常的なタスクに Alibaba Cloud アカウントを使用しないでください。代わりに、RAM を使用して、人やアプリケーションごとに個別の ID を作成し、必要な権限のみを付与してください。
主な特徴
ID 管理:RAM ユーザー、RAM ユーザーグループ、RAM ロールなど、さまざまな ID を作成・管理します。
ID 認証:パスワード、AccessKey ペア、多要素認証 (MFA)、シングルサインオン (SSO) など、複数の認証方式を提供します。
権限管理:ポリシーに基づいて、ID に対するきめ細かなアクセスの制御を実装します。
ID フェデレーション:企業の ID プロバイダー (IdP) との統合をサポートし、統一された ID 管理と SSO を実現します。
アクセス監査:RAM ID が持つ権限を特定し、最後に使用された日時を記録します。
ID、認証、権限付与
RAM は、Alibaba Cloud での認証と権限付与を管理するためのフレームワークを提供します。
ID
ID とは、クラウドリソースに対する操作をリクエストできるエンティティです。これは権限を付与する対象のエンティティです。RAM の ID は、機能的な目的と技術的な実装という 2 つの異なる観点から理解できます。
機能的な目的別
主な種類として、ヒューマン ID とマシン ID の 2 つがあります。
ヒューマン ID:開発者、運用エンジニア、セキュリティエンジニアなど、組織内の人々を指します。通常、コンソールや CLI を通じて対話形式で Alibaba Cloud のリソースにアクセスします。
マシン ID:アプリケーションやサービスなど、人間以外のアクターを指します。API を通じて非対話形式で Alibaba Cloud のリソースやデータにアクセスします。
技術的な実装別
RAM は、RAM ユーザー、RAM ユーザーグループ、およびRAM ロールの 3 種類の ID を提供します。
ID の種類 | 定義 | 利用シーン |
RAM ユーザー |
| 特定の人、システム、またはアプリケーションに安定的で長期的な権限を割り当てます。 |
RAM ユーザーグループ |
| 同じ職務 (開発者や管理者など) を持つ複数のユーザーの権限を管理し、大規模なアクセス管理を簡素化します。 |
RAM ロール |
| アクセスを安全に委任します。一般的なシナリオには、クロスアカウントアクセス、Alibaba Cloud サービスへの権限付与、ID フェデレーションの有効化などがあります。 |
これら 2 つの分類モデルは補完的です。RAM ユーザーと RAM ロールの両方を、ワークフォース ID またはワークロード ID のいずれかとして機能するように設定できます。
Alibaba Cloud アカウントと RAM ユーザーの比較
Alibaba Cloud アカウントは、Linux のルートユーザーに相当します。最も特権の高いプリンシパルです。RAM ユーザーは、アカウント内に作成する ID であり、特定のカスタム権限を持ちます。両者の主な違いは次のとおりです:
項目 | Alibaba Cloud アカウント | RAM ユーザー |
ID の役割 | リソースのオーナー。すべての資産に対する完全な所有権と最高の権限を持ちます。 | リソースとサービスのユーザー。権限は Alibaba Cloud アカウントによって付与されます。RAM ユーザーは通常、特定の人またはアプリケーションに対応します。 |
クラウドリソースの所有 | はい | いいえ。リソースは Alibaba Cloud アカウントによって所有されます。 |
デフォルトの権限 | 完全な権限。制限することはできません。 | デフォルトでは権限なし。Alibaba Cloud アカウントから権限を付与される必要があります。 |
推奨される使用方法 | 権限付与、支払い、アカウント管理などの主要な管理操作にのみ使用します。 | 日常の開発、O&M (運用保守)、デプロイメント、その他のタスク。 |
Alibaba Cloud アカウントを保護するためのベストプラクティス
日常の管理および技術的な操作のために、管理者権限を持つ RAM ユーザーを特別に作成してください。
Alibaba Cloud アカウントは、絶対に必要な場合にのみ使用してください。パスワードおよび多要素認証 (MFA) 認証情報などの関連する認証情報を安全に保管してください。
すべての日常的な操作は、RAM 管理者ユーザーを使用して実行してください。これにより、日常の作業環境で Alibaba Cloud アカウントが公開されるのを防ぎます。
認証
認証とは、ID の認証情報を検証して、その ID が誰であるかを確認するプロセスです。何らかの操作が行われる前に、ユーザーまたはサービスは認証される必要があります。
認証情報には、ユーザー名とパスワード、ワンタイムパスコード、プログラムによるアクセスに使用される AccessKey ペアなど、さまざまな形式があります。
以下の方法でセキュリティを強化できます:
多要素認証 (MFA):ユーザーが ID を検証するために、パスワードとワンタイムパスコードの組み合わせなど、少なくとも 2 種類の異なる認証情報を提供することを要求することで、保護レイヤーを追加します。
シングルサインオン (SSO):ユーザーが ID プロバイダー (IdP) を介して既存の企業の認証情報でログインできるようにし、個別の Alibaba Cloud パスワードの必要性をなくします。
権限付与
権限付与は、認証された ID が特定のリソースにアクセスする権限を持っているかどうかを確認するプロセスです。
認証と権限付与の主な違いは次のとおりです:
認証は、「あなたは誰か」という問いに答えることで、ID を検証します。
権限付与は、「あなたは何をすることが許可されているか」という問いに答えることで、権限を許可または拒否します。
認証が常に先に行われます。ID が検証されると、権限付与のルールがチェックされ、アクセスが許可または拒否されます。
RAM では、ポリシーを作成して ID にアタッチすることでアクセスを管理し、許可されたリソースへのアクセスと操作のみを実行できるようにします。
RAM の認証方式
比較
RAM は、さまざまなユースケース向けに複数の認証方式をサポートしています:
コンソールログイン
認証方式 | 定義 | 利用シーン |
ユーザー名とパスワード | コンソールへのログインに使用される一連の認証情報。 | RAM ユーザーが対話形式の操作のためにコンソールにログインします。 |
MFA | ユーザー名とパスワードによる認証に加えて、セキュリティのレイヤーを追加します。 | パスワードと組み合わせて使用し、コンソールのログインセキュリティを強化します。デフォルトでは、すべての RAM ユーザーはログイン時に MFA を実行する必要があります。 |
パスキー | FIDO2 標準に基づくパスワードレス認証ソリューションで、ユーザーはデバイスの生体認証 (指紋や顔認証など) または PIN を使用して認証できます。 | パスワードスプレー攻撃やフィッシングなどのパスワード攻撃を防ぐことで、コンソールのログインセキュリティを強化します。高いセキュリティ要件があるシナリオや、パスワードレスログインが必要なシナリオに適しています。 |
SSO | ユーザーは企業の IdP を通じて認証し、一度のログインで複数の信頼されたクラウドサービスにアクセスできます。 | 企業のユーザーが既存の ID 認証システム (Microsoft Entra ID や Okta など) を使用して Alibaba Cloud にアクセスします。 |
プログラムによるアクセス
認証方式 | 定義 | 利用シーン |
AccessKey ペア | AccessKey ペアは、AccessKey ID と AccessKey Secret で構成され、RAM ユーザーの長期的な認証情報として機能します。 | アプリケーションやサービスからのプログラムによる呼び出しを行います。セキュリティを向上させるため、可能な場合は長期的な AccessKey ペアの代わりに一時的な認証情報を使用することを推奨します。 |
Security Token Service (STS) トークン | 信頼された ID が RAM ロールを引き受けるときに取得される一時的な認証情報です。一時的な AccessKey ペアとセキュリティトークンが含まれ、有効期間が限られており、自動的に有効期限が切れます。 | プログラムによるアクセスに推奨される方法です。認証情報の有効期間を制限することでセキュリティを強化するため、クロスアカウントアクセス、ID フェデレーション、アプリケーションへ一時的な権限を付与するなどのシナリオに最適です。 |
長期的な認証情報と一時的な認証情報の比較
長期的な認証情報:手動で無効化、削除、または変更されない限り、長期間有効な認証情報です。例:パスワード、AccessKey ペア。
一時的な認証情報:有効期間が限定されており (15 分から数時間など)、有効期限が切れると自動的に無効になる認証情報です。例:STS トークン。
一時的な認証情報は、長期的な認証情報よりも安全です。長期的な認証情報が漏洩した場合、取り消されるまで無期限に使用される可能性があります。対照的に、一時的な認証情報は有効期間が短いです。漏洩したとしても、その影響は限定的であり、セキュリティリスクを低減します。したがって、一時的な認証情報の使用を優先すべきです。詳細については、「API 操作を呼び出すためのアクセス認証情報の使用に関するベストプラクティス」をご参照ください。
STS トークンは、信頼された ID が RAM ロールを引き受けるときに Alibaba Cloud Security Token Service (STS) によって発行されます。詳細については、「一時的な ID 認証情報の取得」をご参照ください。
RAM のポリシー
ID が認証されると、RAM はアタッチされたポリシーを評価して、その ID がターゲットリソースにアクセスするために必要な権限を持っているかどうかを判断します。RAM は「デフォルトで拒否」の原則に従います。明示的に許可されていないアクセスリクエストは、暗黙的に拒否されます。
ポリシーの種類
権限は、権限を定義する一連のルールであるポリシーを通じて管理されます。RAM は、次の 2 種類のポリシーをサポートしています:
システムポリシー:Alibaba Cloud によって作成および管理されるこれらのポリシーは、一般的な利用シーンをカバーしますが、定義されている権限を変更することはできません。
カスタムポリシー:自分で作成および管理できるポリシーです。JSON フォーマットでポリシードキュメントを作成することにより、許可または拒否される操作、リソース、および条件を正確に定義して、きめ細かなアクセスの制御を実現できます。
詳細については、「ポリシーの概要」をご参照ください。
権限付与の範囲
権限は、Alibaba Cloud アカウント全体に適用することも、リソースグループを使用して特定のプロジェクトや環境に限定することもできます。
詳細については、「ポリシーモデル」をご参照ください。
条件付きアクセスの制御
カスタムポリシーで条件を定義することにより、きめ細かなアクセスの制御を実現できます。これにより、属性ベースのアクセスの制御 (ABAC) のような戦略を実装でき、アクセスはリアルタイムで属性を評価することによって決定されます。一般的な利用シーンには、リクエストを特定の CIDR ブロックに制限したり、特定のアクションに MFA を要求したりすることが含まれます。
条件には、ID 属性、リソース属性、リクエスト環境属性などのシステム定義属性や、タグなどのカスタム属性を含めることができます。
条件はカスタムポリシーでのみ設定できます。
詳細については、「ポリシーの要素」をご参照ください。
ID フェデレーション
RAM は、SAML 2.0 および OpenID Connect (OIDC) プロトコルに基づく SSO をサポートしており、これはID フェデレーションとも呼ばれます。
ID フェデレーションを使用する理由
マルチクラウドおよび企業の IT 環境では、従業員は複数の内部システムやクラウドサービスにアクセスする必要があり、頻繁にアカウントを切り替えたり、異なるパスワードを覚えたりする必要があります。これは運用効率に影響を与えるだけでなく、セキュリティリスクも増大させます。
ID フェデレーションを使用すると、Microsoft Entra ID や Okta などの企業の IdP のユーザーが、既存の認証情報を使用して Alibaba Cloud にログインできるようになります。このアプローチには、次の利点があります:
ログインの簡素化:従業員は企業の IdP に一度ログインするだけで Alibaba Cloud にアクセスでき、複数のユーザー名とパスワードを管理する必要がなくなります。
一元化されたセキュリティポリシー:MFA、パスワードポリシー、IP アドレス制限などの企業のセキュリティポリシーは、IdP レベルで一元的に設定および適用されます。
一元化された管理と監査:ユーザーアクセスは IdP で一元的に管理されます。従業員が退職すると、Alibaba Cloud へのアクセスは自動的に取り消され、管理のオーバーヘッドとセキュリティリスクが軽減されます。
サポートされている SSO 方式
RAM は、さまざまな利用シーンのニーズを満たすために、次の 2 つの SSO 方式をサポートしています:
ユーザーベースの SSO
この方式は、IdP のユーザーを Alibaba Cloud の対応する RAM ユーザーにマッピングします。ユーザーは、マッピングされた RAM ユーザーとして Alibaba Cloud マネジメントコンソールにログインします。ロールベースの SSO
この方式では、フェデレーションユーザーが RAM ロールを引き受けて一時的な認証情報を取得します。この方式はクロスアカウントアクセスをサポートし、長期的な認証情報を作成しないことで、セキュリティのベストプラクティスにより適合します。
詳細については、「SSO の概要」をご参照ください。
セキュリティと監査
Alibaba Cloud アカウントのセキュリティと監査性を向上させるために、以下のベストプラクティスを使用してください。
ID とアクセスの管理
詳細については、「ID とアクセスの管理に関するベストプラクティス」をご参照ください。
監査とガバナンス
ActionTrail による操作のログ記録:ActionTrail を使用して、RAM ID によって実行されたすべての操作を記録できます。これは、セキュリティ監査、コンプライアンスレビュー、問題の追跡に使用できます。詳細については、「ActionTrail を使用したイベントのクエリ」をご参照ください。
ID およびアクセスガバナンス:長期間非アクティブな AccessKey ペアや準拠していないパスワードポリシーなど、ID と権限に関連するセキュリティリスクを継続的に検出する必要があります。
アクセス分析:RAM は、アカウント内のインターネットからのアクセスや過剰な権限を持つ ID を特定および分析し、ガバナンスの提案を提供します。
詳細については、「ID とアクセスの管理に関するベストプラクティス」をご参照ください。