:用語

概念

説明

Alibaba Cloud アカウント

Alibaba Cloud サービスを使用する前に、まず Alibaba Cloud アカウントを登録する必要があります。 Alibaba Cloud アカウントは、リソースの所有権、リソース使用量の測定、および課金の基本的なエンティティです。 Alibaba Cloud アカウントは、そのリソースの料金を支払い、それらを完全に制御します。

デフォルトでは、Alibaba Cloud アカウントのみがそのリソースにアクセスできます。 他のユーザーがリソースにアクセスするには、Alibaba Cloud アカウントからの明示的な権限付与が必要です。 Alibaba Cloud アカウントは、オペレーティングシステムのルートユーザーまたは管理者ユーザーのようなものです。 このため、ルートアカウントまたはメインアカウントと呼ばれることもあります。

Alibaba Cloud アカウントのセキュリティを確保するため、必要でない限り、コンソールへのログインや AccessKey ペアの作成に Alibaba Cloud アカウントを使用しないでください。 Alibaba Cloud アカウントで RAM ユーザーを作成し、その RAM ユーザーに管理者権限を付与してから、その RAM ユーザーを使用して管理操作を実行します。

アカウント管理者

アカウント管理者は、アカウント内のすべてのリソースを管理する権限を持っています。 アカウント管理者は、Alibaba Cloud アカウントまたは AdministratorAccess 権限を持つ RAM ユーザーです。 セキュリティ上の理由から、RAM ユーザーをアカウント管理者として使用することをお勧めします。 詳細については、「アカウント管理者を作成する」をご参照ください。

RAM 管理者

RAM 管理者は、アカウント内の RAM リソースを管理する権限を持っています。 RAM 管理者は、Alibaba Cloud アカウントまたは AliyunRAMFullAccess 権限を持つ RAM ユーザーです。 セキュリティ上の理由から、RAM ユーザーを RAM 管理者として使用することをお勧めします。

ID

RAM には、RAM ユーザー、ユーザーグループ、RAM ロールの 3 種類の ID があります。 RAM ユーザーとユーザーグループは、RAM のエンティティ ID タイプです。 RAM ロールは仮想ユーザー ID です。

デフォルトドメイン名

Alibaba Cloud は、各 Alibaba Cloud アカウントに [デフォルトドメイン名] を <AccountAlias>.onaliyun.com というフォーマットで割り当てます。ここで、<AccountAlias> はアカウントエイリアスを表します。デフォルトドメイン名は、RAM ユーザーのログインやシングルサインオン (SSO) などのシナリオで Alibaba Cloud アカウントの一意の識別子として使用できます。

デフォルトドメイン名の設定方法の詳細については、「デフォルトドメイン名の表示と変更」をご参照ください。

アカウントエイリアス

アカウントエイリアスは、アカウントエイリアスとも呼ばれます。 アカウントエイリアスのデフォルト値は、Alibaba Cloud アカウント ID <AccountID> です。 アカウントエイリアスは、デフォルトドメイン名の <AccountAlias> の部分です。 デフォルトドメイン名を設定すると、アカウントエイリアスも設定されます。 RAM ユーザーのログインでは、アカウントエイリアスとデフォルトドメイン名は同等です。 どちらかを使用してログインできます。

たとえば、企業は Alibaba Cloud アカウントのアカウントエイリアスを company1 に設定できます。 その後、このアカウントの alice という名前の RAM ユーザーは、alice@company1 を使用して Alibaba Cloud 管理コンソールにログインできます。

アカウントエイリアスの設定方法の詳細については、「デフォルトドメイン名の表示と変更」をご参照ください。

ドメインエイリアス

インターネット上で解決できるドメイン名がある場合は、それを使用してデフォルトドメイン名をオーバーライドできます。 これは [ドメインエイリアス] と呼ばれます。 ドメインエイリアスは、デフォルトドメイン名のエイリアスです。

ドメインエイリアスの設定方法の詳細については、「ドメインエイリアスの作成と検証」をご参照ください。

RAM ユーザー

RAM ユーザーは、RAM のエンティティ ID タイプです。 特定の ID と認証情報を持ちます。 RAM ユーザーは通常、特定の人またはアプリケーションに対応します。 RAM ユーザーには次の特徴があります。

• Alibaba Cloud アカウントで複数の RAM ユーザーを作成できます。 これらのユーザーは、企業内の従業員、システム、またはアプリケーションに対応できます。

• RAM ユーザーはリソースを所有せず、個別に測定または課金することはできません。 それらの使用は、それらが属する Alibaba Cloud アカウントによって制御され、支払われます。

• RAM ユーザーは Alibaba Cloud アカウントに属し、そのアカウントの範囲内でのみ表示されます。 これらは独立した Alibaba Cloud アカウントではありません。

• RAM ユーザーは、コンソールにログインしたり、API を使用してアカウントのリソースを操作したりする前に、Alibaba Cloud アカウントから権限を付与される必要があります。

RAM ユーザーの作成方法の詳細については、「RAM ユーザーの作成」をご参照ください。

ログインパスワード

ログインパスワードは、Alibaba Cloud へのログインに使用される認証情報です。 ユーザーの実際の ID を証明します。

RAM ユーザーのログインパスワードの設定方法の詳細については、「RAM ユーザーのログインパスワードの変更」をご参照ください。

AccessKey ペア

AccessKey ペアは、Alibaba Cloud がユーザーに提供する永続的なアクセス認証情報です。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。

• AccessKey ID は、ユーザーを識別するために使用されます。

• AccessKey Secret は、リクエストに暗号で署名するために使用される秘密鍵です。

AccessKey ID と AccessKey Secret は、アルゴリズムに基づいて RAM によって生成されます。 Alibaba Cloud は、ストレージおよび送信中に AccessKey ID と AccessKey Secret を暗号化します。

AccessKey ペアを使用してコンソールにログインすることはできません。 代わりに、API、CLI、SDK、Terraform などの開発ツールを介して Alibaba Cloud にプログラムでアクセスするために使用します。 これらのツールは、AccessKey ペアを使用してリクエストに署名し、ID とリクエストの有効性を検証します。

AccessKey ペアの作成方法の詳細については、「AccessKey ペアの作成」をご参照ください。

MFA

多要素認証 (MFA) は、ユーザー名とパスワードに加えて保護レイヤーを追加する、シンプルで効果的なセキュリティのベストプラクティスです。 これらの要素を組み合わせることで、アカウントのセキュリティが向上します。 MFA を有効にすると、Alibaba Cloud にログインするときに 2 つのセキュリティ要素を入力する必要があります。

1. 最初のセキュリティ要素: ユーザー名とパスワードを入力します。

2. 2 番目のセキュリティ要素: 仮想 MFA デバイスによって生成された検証コードを入力するか、U2F セキュリティキーで認証します。

MFA の設定方法の詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。

RAM ユーザーグループ

ユーザーグループは、RAM のエンティティ ID タイプです。 ユーザーグループを使用して、同じ責任を持つ RAM ユーザーを分類し、権限を付与できます。 これにより、ユーザーとその権限をより適切に管理できます。

• RAM ユーザーの責任が変更された場合は、ユーザーを新しい責任に対応する別のユーザーグループに移動するだけです。 これは他の RAM ユーザーには影響しません。

  ユーザーグループの作成方法の詳細については、「RAM ユーザーグループの作成」をご参照ください。

• ユーザーグループの権限が変更された場合は、ユーザーグループのアクセスポリシーを変更するだけで済みます。 変更は、グループ内のすべての RAM ユーザーに適用されます。

  ユーザーグループに権限を付与する方法の詳細については、「RAM ユーザーグループに権限を付与する」をご参照ください。

RAM ロール

RAM ロールは、一連のアクセスポリシーを付与できる仮想ユーザーです。 RAM ユーザーとは異なり、RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な認証情報はありません。 RAM ロールは、信頼できるエンティティによって引き受けられる必要があります。 信頼できるエンティティがロールを引き受けると、エンティティは一時的な認証情報であるセキュリティトークンサービス (STS) トークンを取得します。 その後、エンティティは STS トークンを使用して、RAM ロールとして承認されたリソースにアクセスできます。

RAM ロールは、信頼できるエンティティに基づいて次のタイプに分類されます。

• Alibaba Cloud アカウントが引き受けることができる RAM ロール: このタイプのロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。 信頼できる Alibaba Cloud アカウントの RAM ユーザーのみが引き受けることができます。 信頼できる Alibaba Cloud アカウントは、現在のアカウントまたは別のアカウントにすることができます。 詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。

• Alibaba Cloud サービスが引き受けることができる RAM ロール: このタイプのロールは、サービス間の権限付与に使用されます。 信頼できる Alibaba Cloud サービスのみが引き受けることができます。 詳細については、「信頼できる Alibaba Cloud サービスの RAM ロールを作成する」および「サービスにリンクされたロール」をご参照ください。

• ID プロバイダーが引き受けることができる RAM ロール: このタイプのロールは、Alibaba Cloud との SSO を実装するために使用されます。 信頼できる ID プロバイダーのユーザーのみが引き受けることができます。 詳細については、「ID プロバイダーの RAM ロールを作成する」をご参照ください。

サービスプロバイダー (SP)

ID プロバイダー (IdP) の ID 管理機能を使用して、ユーザーに特定のサービスを提供するアプリケーション。 SP は、IdP によって提供されるユーザー情報を使用します。 OpenID Connect (OIDC) などの一部の非 SAML ID システムでは、SP は IdP の依拠当事者とも呼ばれます。

ID プロバイダー (IdP)

外部 ID プロバイダーのメタデータを含む RAM エンティティ。 ID プロバイダーは、ID 管理サービスを提供できます。

• オンプレミス IdP: Microsoft Active Directory Federation Services (AD FS) や Shibboleth など。

• クラウド IdP: IDaaS、Microsoft Entra ID、Google Workspace、Okta、OneLogin など。

Security Assertion Markup Language 2.0 (SAML 2.0)

エンタープライズユーザーの身分認証のための標準プロトコル。 SP と IdP 間の通信を可能にする技術的実装の 1 つです。 SAML 2.0 は、エンタープライズ SSO を実装するためのデファクトスタンダードです。

SSO

Alibaba Cloud は、Security Assertion Markup Language 2.0 (SAML 2.0) および OpenID Connect (OIDC) に基づくシングルサインオン (SSO) をサポートしています。 SSO はフェデレーションログインとも呼ばれます。 Alibaba Cloud は、次の SSO メソッドを提供します。

• ユーザーベース SSO

  Alibaba Cloud は、IdP によって発行された SAML アサーションを使用して、エンタープライズユーザーを Alibaba Cloud RAM ユーザーにマップします。 エンタープライズユーザーがログインすると、ユーザーはマップされた RAM ユーザーとして Alibaba Cloud リソースにアクセスします。 詳細については、「ユーザーベース SSO の概要」をご参照ください。

• ロールベース SSO

  • SAML ベースのロール SSO: Alibaba Cloud は、IdP によって発行された SAML アサーションを使用して、エンタープライズユーザーが Alibaba Cloud で引き受けることができる RAM ロールを決定します。 エンタープライズユーザーがログインすると、ユーザーは SAML アサーションで指定された RAM ロールを引き受けて Alibaba Cloud リソースにアクセスします。 「SAML ベースのロール SSO の概要」をご参照ください。

  • OIDC ベースのロール SSO: エンタープライズユーザーは、IdP によって発行された OIDC トークンを使用して Alibaba Cloud API を呼び出します。 ユーザーは指定されたロールを引き受け、ロールの一時的な認証情報である STS トークンを取得します。 その後、ユーザーは STS トークンを使用して Alibaba Cloud リソースに安全にアクセスします。 詳細については、「OIDC ベースのロール SSO の概要」をご参照ください。

メタデータファイル

メタデータファイルは、エンタープライズ IdP によって提供されます。 通常は XML フォーマットで、IdP のログインサービスエンドポイント、署名検証用の公開鍵、アサーションフォーマットなどの情報が含まれています。

SAML アサーション

認証リクエストと応答を記述する SAML プロトコルのコア要素。 たとえば、ユーザーの特定のプロパティは、認証応答のアサーションに含まれます。

信頼

SP と IdP の間に確立された相互信頼メカニズム。 通常、公開鍵と秘密鍵を使用して実装されます。 SP は、信頼できる方法で IdP の SAML メタデータを取得します。 メタデータには、IdP によって発行された SAML アサーションの署名を検証するために使用される公開鍵が含まれています。 SP はこの公開鍵を使用して、アサーションの整合性を検証します。

概念

説明

権限

権限は、ユーザーがリソースに対して操作を実行できるかどうかを決定します。 権限は、Allow または Deny の文にすることができます。

操作は 2 つのカテゴリに分類されます。

• リソース管理操作: これらの操作には、クラウドリソースのライフサイクル管理と O&M が含まれます。 これらは通常、組織内のリソース購入者または O&M 担当者によって実行されます。 例としては、ECS インスタンスの作成、停止、再起動、OSS バケットの作成、変更、削除などがあります。

• リソース使用操作: これらの操作には、リソースのコア機能の使用が含まれます。 これらは通常、組織内の開発者またはアプリケーションシステムによって実行されます。 例としては、ECS インスタンスのオペレーティングシステムでのユーザー操作や、OSS バケットからのデータのアップロードまたはダウンロードなどがあります。

  説明

  • エラスティックコンピューティングやデータベースサービスなどのプロダクトの場合、リソース管理操作は RAM を使用して管理できます。 リソース使用操作は、各プロダクトインスタンス内で管理されます。 例としては、ECS インスタンスのオペレーティングシステムや MySQL データベースのアクセスの制御などがあります。

  • OSS や Tablestore などのストレージプロダクトの場合、リソース管理とリソース使用の両方の操作を RAM を使用して管理できます。

アクセスポリシー

アクセスポリシーは、特定の構文を使用して記述された権限のセットです。 承認されたリソースセット、アクションセット、および条件を正確に定義できます。 アクセスポリシーは、一連の権限を記述するための単純な言語仕様です。 RAM でサポートされている言語仕様の詳細については、「ポリシーの構造と構文」をご参照ください。

RAM では、アクセスポリシーはリソースエンティティです。 RAM は、次の 2 種類のアクセスポリシーをサポートしています。

• Alibaba Cloud が管理する [システムポリシー]: これらのポリシーは Alibaba Cloud によって作成および維持されます。 これらのポリシーは使用できますが、変更することはできません。

• お客様が管理する [カスタムポリシー]: これらのポリシーを作成、更新、削除できます。 ポリシーのバージョンを維持する責任があります。

アクセスポリシーを RAM ユーザー、ユーザーグループ、または RAM ロールにアタッチすることで、ポリシーで指定されたアクセス権限を付与できます。 詳細については、「RAM ユーザーに権限を付与する」、「RAM ユーザーグループに権限を付与する」、および「RAM ロールに権限を付与する」をご参照ください。

プリンシパル

ポリシーで定義された権限を付与されるエンティティ。 プリンシパルは、RAM ユーザー、ユーザーグループ、または RAM ロールにすることができます。

効果

アクセスポリシーの基本要素の 1 つ。 権限付与の効果を指定します。 有効な値: Allow と Deny。

操作

アクセスポリシーの基本要素の 1 つ。 特定のリソースに対する操作を指定します。 値は、Alibaba Cloud サービスによって定義された API 操作の名前です。

条件

アクセスポリシーの基本要素の 1 つ。 権限付与が有効になる条件を指定します。

リソース

リソースは、OSS バケットや ECS インスタンスなど、Alibaba Cloud サービスがユーザーとの対話のために提示するオブジェクトエンティティの抽象的な表現です。

ARN (Alibaba Cloud リソースネーム)

ARN は Alibaba Cloud リソースネームであり、Alibaba Cloud が各リソースに定義したグローバルに一意な名前です。 RAM の権限付与では、ARN フォーマットは acs:<ram-code>:<region>:<account-id>:<relative-id> です。 フィールドは次のように記述されます。

• acs: Alibaba Cloud Service の略です。 Alibaba Cloud のパブリッククラウドプラットフォームを示します。

• ram-code: Alibaba Cloud サービスの RAM コード。 詳細については、「RAM をサポートする Alibaba Cloud サービス」の [RAM コード] 列をご参照ください。

• region: リージョン情報。 このパラメーターは、グローバルリソースの場合はアスタリスク (*) に設定されます。 グローバルリソースは、リージョンを指定しなくてもアクセスできます。 詳細については、「リージョンとゾーン」をご参照ください。

• account-id: Alibaba Cloud アカウントの ID。 例: 123456789012****。

• relative-id: Alibaba Cloud サービスに固有のリソース記述。 セマンティクスはサービスによって定義されます。 この部分は、ファイルパスに似たツリー状の構造をサポートしています。 たとえば、OSS では、OSS オブジェクトを表すフォーマットは relative-id = "mybucket/dir1/object1.jpg" です。