新しく作成された RAM ユーザーには、デフォルトで権限がありません。RAM ユーザーがご利用の Alibaba Cloud アカウントの権限範囲内で Alibaba Cloud リソースにアクセスまたは管理するには、事前に権限を付与する必要があります。本トピックでは、RAM ユーザーに対する権限の付与、確認、および取り消し方法について説明し、セキュリティベストプラクティスおよびトラブルシューティングのガイダンスを提供します。
基本概念
権限を付与する前に、以下の基本概念を理解してください。
-
権限ポリシーの種類
権限ポリシー は、アクセス権限のコレクションです。RAM では 2 種類のポリシーがサポートされています。1 回の操作で複数の権限ポリシーを RAM ユーザーにアタッチできます。常に最小権限の原則に従ってください。
-
システムポリシー:Alibaba Cloud が提供する一般的な権限の事前定義セットです。例:
AliyunECSReadOnlyAccess(ECS への読み取り専用アクセス)、AliyunOSSFullAccess(OSS への完全アクセス)。一覧については、「」および「System policy reference」をご参照ください。 -
カスタムポリシー:システムポリシーでは満たせない詳細な要件に対応するために作成するポリシーです。権限を付与する前に、「Create a custom policy」でカスタムポリシーを作成する必要があります。課金関連の権限については、「What permissions are required for a RAM user to purchase Alibaba Cloud resources?」をご参照ください。
-
-
権限付与の動作と制限
-
即時有効:権限は付与後すぐに有効になります。待機時間や再ログインは不要です。
-
数量制限:各 RAM ユーザーには、アタッチ可能なシステムポリシーおよびカスタムポリシーの最大数が設定されています。詳細については、「Limitations」をご参照ください。
-
リソースグループの制約:リソースグループレベルでの権限付与を行う場合、対象のクラウドサービス、操作、およびリソースタイプがリソースグループレベルでの権限付与をサポートしていることを確認してください。詳細については、「Alibaba Cloud services that support resource group-level authorization」をご参照ください。
-
RAM ユーザーへの権限付与
コンソール
RAM コンソールでは、権限付与のためのエントリポイントが 2 つ用意されています。どちらも単一およびバッチでの権限付与をサポートしています。
-
ユーザー ページ:選択したユーザーに基づいてプリンシパルが自動的に選択されます。ユーザー中心のワークフローに最適です。
-
Grants ページ:プリンシパルを手動で選択でき、アカウント全体のすべての権限付与レコードを表示できます。権限中心のワークフローに最適です。
ヒント:大規模な管理を行う場合は、同じ責任を持つ RAM ユーザーを同じユーザーグループに追加し、個々のユーザーではなくグループに対して権限を付与することを推奨します。Identities > User Groups に移動してグループを管理してください。
ユーザー ページから
-
RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
ユーザー ページで、対象の RAM ユーザーを見つけ、操作 列 > ポリシーのアタッチ をクリックします。
複数の RAM ユーザーを選択し、ユーザー一覧の下にある ポリシーのアタッチ をクリックして、バッチで権限を付与することもできます。
-
Grant Permission パネルで、以下の設定を行います。
-
Resource scope:
-
Account level:権限はご利用の Alibaba Cloud アカウント内のすべてのリソースに適用されます。
-
Resource group level:権限は指定されたリソースグループ内でのみ適用されます。RAM ユーザーは、コンソールにログイン後に上部のナビゲーションバーで承認されたリソースグループに切り替える必要があります。
説明-
AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーには、警告インジケーターが付与されます。これらのポリシーは通常、すべてのクラウドリソースに対する完全制御または RAM の完全管理を許可します。これらのポリシーの付与には十分注意してください。
-
リソースグループによる権限付与の例については、「Control access to ECS instances with resource groups」をご参照ください。
-
-
-
Principal:
プリンシパルとは、権限を受ける RAM ユーザーです。Users ページから開始した場合、現在の RAM ユーザーが自動的に選択されます。Grants ページから開始した場合、RAM ユーザーを手動で選択する必要があります。バッチ選択もサポートされています。
-
Permission policy:
-
System policy:直接検索して選択します。検索ボックスを使用して、プロダクト名(例:
ECS、OSS)、アクセスレベル(例:ReadOnly、FullAccess)、または完全なポリシー名でフィルターできます。 -
Custom policy:権限を付与する前に、「Create a custom policy」でカスタムポリシーを作成する必要があります。
-
-
(オプション)Description:監査目的で、権限付与の理由またはシナリオを入力します。
-
Confirm をクリックします。
-
-
権限付与結果を確認し、Close をクリックします。
Grants ページから
-
RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
Grants ページで、Grant Permission をクリックします。
-
Grant Permission パネルで、プリンシパルを選択し、上記と同じ設定を行います。
-
権限付与結果を確認し、Close をクリックします。
OpenAPI
を付与する[カスタムポリシー]
-
CreatePolicy を呼び出して、カスタムポリシー を作成します。ポリシー構文については、「Basic elements of a permission policy」および「Overview of sample policies」をご参照ください。
-
AttachPolicyToUser を呼び出して、アカウントレベルでポリシーを付与します(
PolicyTypeをCustomに設定)。または、AttachPolicy を呼び出して、リソースグループレベルでポリシーを付与します。
付与: [システムポリシー]
-
AttachPolicyToUser を呼び出して、RAM ユーザーにシステムポリシーをアタッチします(
PolicyTypeをSystemに設定)。使用可能なPolicyNameの値については、「」および「System policy reference」をご参照ください。 -
または、AttachPolicy を呼び出して、リソースグループレベルでポリシーを付与します。
RAM ユーザー権限の確認
コンソール
-
RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
ユーザー ページで、対象の RAM ユーザー名をクリックします。
-
権限管理 タブをクリックして、ユーザー権限 および グループ権限 を確認します。
実際の権限使用状況(最終アクセス時刻、アイドルポリシー、過剰な特権アクセスなど)を評価するには、ユーザー詳細ページの Permission Audit (Beta) タブ、または RAM 概要ページの Access Analysis セクションを確認してください。
OpenAPI
ListPoliciesForUser を呼び出して、指定された RAM ユーザーのアカウントレベルでの権限付与リストを照会します。この操作では、リソースグループレベルでの権限付与は返されません。
RAM ユーザー権限の取り消し
重要:権限を取り消す前に、対象ポリシーの最終使用時刻を確認するためにユーザー詳細ページの Permission Audit (Beta) タブを確認するか、RAM 概要ページの Access Analysis を確認してアイドルポリシーを特定してください。これにより、まだ使用中の権限を誤って削除するのを防ぐことができます。
コンソール
2 つのエントリポイントが利用可能です。
-
ユーザー ページ:ユーザー詳細ページからポリシーを取り消します。ユーザー中心のクリーンアップに最適です。
-
Grants ページ:すべての権限付与レコード一覧から取り消します。権限中心のクリーンアップに最適です。
「ユーザー」ページから
-
RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
ユーザー ページで、対象の RAM ユーザー名をクリックします。
-
権限管理 タブをクリックします。ユーザー権限 セクションで、対象のポリシーを見つけ、Actions 列 > Revoke Permission をクリックします。
-
Revoke Permission ダイアログボックスで、Principal および Permission Policy の詳細を確認し、Revoke Permission をクリックします。
[付与ページ]から
-
RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
Grants ページで、対象の権限付与レコードの Actions 列 > Revoke Permission をクリックします。
複数のレコードを選択し、一覧の下にある Revoke Permission をクリックして、バッチで権限を取り消すこともできます。
-
Revoke Permission ダイアログボックスで、Revoke Permission をクリックします。
OpenAPI
DetachPolicyFromUser を呼び出して、RAM ユーザーから指定された権限ポリシーを取り消します。
セキュリティベストプラクティス
-
最小権限の原則に従う。タスクに必要な最小限の権限のみを付与します。
-
例 1:特定の ECS インスタンスの管理
-
不適切な例:
AdministratorAccessまたはAliyunECSFullAccessを付与する。 -
適切な例:特定のインスタンス ID に
Resourceを制限するカスタムポリシーを作成します。例については、「Allow managing a specific ECS instance」をご参照ください。
-
-
例 2:課金以外のすべての権限
-
不適切な例:
AdministratorAccessを付与する。 -
適切な例:
"Action": "bss:*","bssapi:*","efc:*"および"Effect": "Deny"を明示的に拒否する文を含むカスタムポリシーを作成します。例については、「Allow managing all resources except billing」をご参照ください。
-
-
-
権限を定期的に監査する。RAM 概要ページの Governance Detection を使用して、90 日間使用されていない AccessKey やアイドル状態の RAM ユーザーを特定します。Access Analysis (Beta) を使用して、過剰な特権を持つアイデンティティを検出します。
-
高リスクポリシーの使用には注意する。
AliyunRAMFullAccessなどの高リスクポリシーは、絶対に必要な場合(例:RAM 管理者向け)にのみ付与し、これらのポリシーを持つユーザーのすべての操作をモニターしてください。 -
一時的なアクセスには RAM ロールを優先する。短期間または限定的な権限が必要な場合(CI/CD パイプライン、クロスアカウントアクセス、サードパーティの操作など)は、RAM ユーザーに長期有効なポリシーをアタッチする代わりに、RAM ロールを作成し、STS を使用して一時的な認証情報を発行します。一時的な認証情報は、手動での取り消しを必要とせずに自動的に有効期限切れになります。
よくある質問
RAM ユーザーは自分の権限を確認できますか?
いいえ。セキュリティ上の理由により、RAM ユーザーはデフォルトで自身の完全な権限ポリシーリストを確認できません。回避策は以下のとおりです。
-
試行アクセス:目的のコンソール機能にアクセスを試みます。「権限が不足しています」というエラーが表示された場合、必要な権限が不足していることを示します。
-
管理者に問い合わせる:Alibaba Cloud アカウントのオーナーまたは
AliyunRAMFullAccessを持つ RAM ユーザーに依頼し、RAM コンソールから権限を確認してもらいます。
RAM ユーザーはクラウドプロダクトを購入できますか?
はい、必要な購入権限が付与されていれば可能です。「What permissions are required for a RAM user to purchase Alibaba Cloud resources?」をご参照ください。
ただし、RAM ユーザーごとの個別の利用上限や別途課金はサポートされていません。すべての料金は Alibaba Cloud アカウントに統合されます。
RAM ユーザーに一時的かつ取り消し可能な権限を付与するにはどうすればよいですか?
一時的なニーズのために長期有効なポリシーをアタッチしないでください。代わりに、必要な権限を持つ RAM ロールを作成し、RAM ユーザーが AssumeRole を呼び出すか、STS を使用して有効期間付きの一時的な認証情報を取得できるようにします。詳細については、「Assume a RAM role」をご参照ください。
一時的な認証情報は自動的に有効期限切れになります。このアプローチは、CI/CD、クロスアカウント委任、サードパーティの操作に適しています。
RAM ユーザーの「アクセス拒否」エラーをトラブルシューティングするにはどうすればよいですか?
RAM コンソールで Permissions > Permission Diagnosis に移動します。エラーレスポンスの AccessDeniedDetail.EncodedDiagnosticMessage フィールドの診断用暗号文、またはリクエスト ID を入力ボックスに貼り付け、Start Diagnosis をクリックします。システムは、一致したポリシーや条件、明示的な拒否文など、具体的な拒否理由をデコードし、問題を迅速に特定できるように支援します。
その他のトラブルシューティング手法については、「Troubleshoot access denied errors」をご参照ください。