Resource Access Management:AccessKey ペアに関するよくある質問

AccessKey ペアとは

AccessKey ペアは、Alibaba Cloud がユーザーに提供する永続的なアクセス認証情報です。AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。

• AccessKey ID は、ユーザーを識別するために使用されます。

• AccessKey Secret は、リクエストに暗号で署名するために使用されるシークレットキーです。

AccessKey ID と AccessKey Secret は、アルゴリズムに基づいて RAM によって生成されます。Alibaba Cloud は、ストレージおよび送信中に AccessKey ID と AccessKey Secret を暗号化します。

AccessKey ペアを使用してコンソールにログインすることはできません。代わりに、API、CLI、SDK、Terraform などの開発ツールを介して Alibaba Cloud にプログラムでアクセスするために使用します。これらのツールは AccessKey ペアを使用してリクエストに署名し、ID とリクエストの有効性を検証します。

Alibaba Cloud が提供する AccessKey ペアの種類

• Alibaba Cloud アカウントの AccessKey ペア

  Alibaba Cloud アカウントによって作成された AccessKey ペアは、デフォルトでアカウントのすべての権限を持ち、すべての操作を実行できます。AccessKey ペアが漏洩した場合、リスクは非常に高くなります。Alibaba Cloud アカウントの AccessKey ペアを作成または使用しないことを強く推奨します。

• RAM ユーザーの AccessKey ペア

  RAM を使用してユーザー権限を管理するには、RAM ユーザーを作成する必要があります。次に、各 RAM ユーザーに異なる権限を付与する必要があります。RAM ユーザーの AccessKey ペアは、RAM ユーザーにプログラムによるアクセスを提供します。AccessKey ペアを作成する前に、まず RAM ユーザーを作成する必要があります。AccessKey ペアの権限は、ユーザーに割り当てられたポリシーから継承されるため、最小権限の原則に従うことができます。リスクを最小限に抑えるために、認証情報を共有するのではなく、各アプリケーションに一意の RAM ユーザーと AccessKey ペアを割り当てます。

AccessKey ペアを作成した後に表示できる情報

AccessKey ペアを作成した後、AccessKey ID、ステータス、最終使用クラウドサービス、最終使用日時、作成日時など、AccessKey ペアに関する基本情報を表示できます。RAM ユーザーの AccessKey ペアに関する情報の表示方法の詳細については、「RAM ユーザーの AccessKey ペア情報を表示する」をご参照ください。

AccessKey ペアを作成した後に AccessKey ID を表示できますか？

はい、できます。

AccessKey ペアを作成した後に AccessKey Secret を表示できますか？

いいえ、できません。Alibaba Cloud アカウントまたは Resource Access Management (RAM) ユーザーの AccessKey Secret は、AccessKey ペアを作成するときにのみ表示されます。その後の操作で AccessKey Secret をクエリすることはできません。これにより、AccessKey ペアの漏洩リスクを低減できます。AccessKey Secret を記録し、機密を保持してください。

AccessKey ペアが使用中かどうかを確認する方法

Alibaba Cloud 管理コンソールで、または操作を呼び出すことによって、AccessKey ペアが最後に使用された日時を表示できます。これにより、AccessKey ペアが使用中かどうかを確認できます。詳細は次のとおりです。

• AccessKey 管理ページ

  Alibaba Cloud アカウントを使用して AccessKey ペアページにアクセスすると、Alibaba Cloud アカウントの AccessKey ペアが最後に使用された日時を表示できます。RAM ユーザーを使用して AccessKey ペアページにアクセスすると、RAM ユーザーの AccessKey ペアが最後に使用された日時を表示できます。

• RAM コンソール

  Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーを使用して RAM コンソールにログインすると、すべての RAM ユーザーの AccessKey ペアが最後に使用された日時を表示できます。詳細については、「RAM ユーザーの AccessKey ペア情報を表示する」をご参照ください。

• GetAccessKeyLastUsed - 指定された AccessKey ペアが最後に使用された日時をクエリする

  この操作を呼び出して、Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ペアが最後に使用された日時を表示できます。

AccessKey ペアを作成した後に AccessKey ID を変更できますか？

いいえ、AccessKey ペアを作成した後に AccessKey ID を変更することはできません。AccessKey ペアを無効化、有効化、または削除することしかできません。

削除した AccessKey ペアを復元できますか？

RAM はゴミ箱機能を提供します。RAM ユーザーの AccessKey ペアを削除すると、その AccessKey ペアはゴミ箱に移動します。ゴミ箱にある AccessKey ペアは復元できます。

ただし、ゴミ箱内の AccessKey ペアは 30 日間しか保持されません。30 日が経過すると、システムはこれらの AccessKey ペアを自動的にクリアします。つまり、AccessKey ペアは完全に削除されます。ゴミ箱から AccessKey ペアを手動で削除することもできます。完全に削除された AccessKey ペアは復元できません。

詳細については、「RAM ユーザーの AccessKey ペアを削除する」をご参照ください。

AccessKey ペアが漏洩した場合はどうすればよいですか？

詳細については、「AccessKey ペアの漏洩に対するソリューション」をご参照ください。

AccessKey ペアが属するアカウントをクエリする方法

AccessKey ペアはプログラムアクセス認証情報であり、機密情報です。Alibaba Cloud は、どの AccessKey ペアがどのアカウントに属しているかをクエリする機能を提供できません。

この要件がある場合は、次の方法で、権限の範囲内で AccessKey ペアが属するアカウントをクエリできます。

• Alibaba Cloud アカウントを使用して RAM コンソールにログインできます。[ユーザー] ページで、検索ボックスに AccessKey ID を入力してアカウントをクエリします。複数の Alibaba Cloud アカウントがある場合は、各アカウントをクエリする必要があります。

• リソースディレクトリを有効化し、ActionTrail でマルチアカウントトレイルを作成して、リソースディレクトリ内のすべてのメンバーの操作イベントを Simple Log Service または Object Storage Service (OSS) に配信している場合、監査ログで AccessKey ペアが属するアカウントをクエリできます。

「There is a risk of leakage of this AccessKey.」というエラーが発生した場合はどうすればよいですか？

このエラーは、ID 検証に使用される AccessKey ペアが制限保護下にあることを示します。ソリューションの詳細については、「AccessKey ペアの制限保護の説明」をご参照ください。

API 呼び出しがネットワークアクセス制御ポリシーによって拒否され、その拒否が期待どおりでない場合はどうすればよいですか？

Message: The specified parameter "AccessKeyId.AccessPolicyDenied" is not valid.

Message: code: 400, Specified access key denied due to access policy.