:用語

用語

説明

Alibaba Cloud アカウント

Alibaba Cloud サービスを使用する前に、Alibaba Cloud アカウントを作成する必要があります。Alibaba Cloud アカウントは、Alibaba Cloud リソースの所有者です。所有するすべてのリソースに対して課金されます。Alibaba Cloud アカウントは、リソースに対する完全な制御権を持ちます。

デフォルトでは、Alibaba Cloud アカウントのみが Alibaba Cloud リソースにアクセスできます。他のユーザーは、Alibaba Cloud アカウントによって明示的に権限を付与された後にのみ、リソースにアクセスできます。Alibaba Cloud アカウントは、オペレーティングシステムの管理者またはルートユーザーに似ています。

Alibaba Cloud アカウントのセキュリティを確保するため、Alibaba Cloud アカウントを使用して Alibaba Cloud 管理コンソールにログインしたり、Alibaba Cloud アカウントの AccessKey ペアを作成したりしないことを推奨します。Alibaba Cloud アカウント用に RAM ユーザーを作成し、その RAM ユーザーに管理権限を付与することを推奨します。その後、その RAM ユーザーを使用してリソースを管理できます。

アカウント管理者

アカウント管理者は、アカウントのすべてのリソースを管理する権限を持ちます。アカウント管理者は、Alibaba Cloud アカウント、または AdministratorAccess ポリシーがアタッチされた RAM ユーザーです。アカウント管理者として RAM ユーザーを使用することを推奨します。詳細については、「アカウント管理者として RAM ユーザーを作成」をご参照ください。

RAM 管理者

RAM 管理者は、RAM のリソースを管理する権限を持ちます。RAM 管理者は、Alibaba Cloud アカウント、または AliyunRAMFullAccess ポリシーがアタッチされた RAM ユーザーです。RAM 管理者として RAM ユーザーを使用することを推奨します。

ID

RAM は、RAM ユーザー、RAM ユーザーグループ、RAM ロールの 3 種類の ID を提供します。RAM ユーザーと RAM ユーザーグループは物理 ID であり、RAM ロールは仮想 ID です。

デフォルトドメイン名

Alibaba Cloud アカウントの一意の識別子です。Alibaba Cloud は、各 Alibaba Cloud アカウントに [デフォルトドメイン名] を割り当てます。デフォルトドメイン名のフォーマットは <AccountAlias>.onaliyun.com です。<AccountAlias> は、Alibaba Cloud アカウントのエイリアスを示します。この一意の識別子は、RAM ユーザーのログインや シングルサインオン (SSO) に使用できます。

詳細については、「RAM ユーザーのログインサフィックス」をご参照ください。

アカウントエイリアス

Alibaba Cloud アカウントのエイリアスです。アカウントエイリアスは、エンタープライズエイリアスとも呼ばれます。アカウントエイリアスのデフォルト値は、Alibaba Cloud アカウントの ID です。デフォルトドメイン名の <AccountAlias> の値は、アカウントエイリアスです。デフォルトドメイン名は、アカウントエイリアスによって異なります。RAM ユーザーが Alibaba Cloud 管理コンソールにログインする際、アカウントエイリアスまたはデフォルトドメイン名の両方を使用できます。

ある企業が自社の Alibaba Cloud アカウントのエイリアスを company1 に設定した場合、その Alibaba Cloud アカウントに属する RAM ユーザー alice は、alice@company1 を使用して Alibaba Cloud 管理コンソールにログインできます。

詳細については、「RAM ユーザーのログインサフィックス」をご参照ください。

ドメインエイリアス

デフォルトドメイン名を置き換えるために使用できるカスタムドメイン名です。カスタムドメイン名は、パブリックに解決可能である必要があります。 ドメインエイリアスは、デフォルトドメイン名のエイリアスです。

詳細については、「ドメインエイリアスの作成と確認」をご参照ください。

RAM ユーザー

固定の ID と認証情報を持つ物理 ID です。RAM ユーザーは、個人またはアプリケーションを表します。RAM ユーザーには次の特徴があります。

• Alibaba Cloud アカウントは複数の RAM ユーザーを作成できます。RAM ユーザーは、企業内の従業員、システム、アプリケーションを表すために使用できます。

• RAM ユーザーはリソースを所有しません。RAM ユーザーによって発生した料金は、その RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。RAM ユーザーは個別の請求書を受け取ることはなく、支払いもできません。

• RAM ユーザーは、自身が属する Alibaba Cloud アカウントにのみ表示されます。

• RAM ユーザーが Alibaba Cloud 管理コンソールにログインしたり、操作を呼び出したりする前に、Alibaba Cloud アカウントによる権限付与が必要です。権限付与後、RAM ユーザーは Alibaba Cloud アカウントが所有するリソースを管理できます。

詳細については、「RAM ユーザーの作成」をご参照ください。

パスワード

Alibaba Cloud 管理コンソールへのログインに使用される認証情報です。

詳細については、「RAM ユーザーのログインパスワードの変更」をご参照ください。

AccessKey ペア

AccessKey ペアは、Alibaba Cloud API へのプログラムによるリクエストを認証するために使用される長期的なセキュリティ認証情報です。AccessKey ID と AccessKey Secret で構成されます。

• AccessKey ID：AccessKey ペアの一意の公開識別子です。

• AccessKey Secret：API リクエストのデジタル署名を計算するために使用される秘密鍵です。この署名により、リクエストの信頼性と整合性が検証されます。AccessKey Secret は厳重に機密扱いにする必要があります。

RAM は特定のアルゴリズムを使用して AccessKey ID と AccessKey Secret を生成します。これらの認証情報は、保存時と転送時の両方で暗号化されます。

AccessKey ペアは、コマンドラインインターフェイス (CLI)、ソフトウェア開発キット (SDK)、または Terraform などのツールを介した Alibaba Cloud サービスへのプログラムによるアクセス専用です。AccessKey ペアを使用して Alibaba Cloud コンソールにログインすることはできません。

詳細については、「AccessKey ペアの作成」をご参照ください。

MFA

ユーザー名とパスワードに加えて、保護レイヤーを追加するセキュリティ強化機能です。多要素認証 (MFA) は、アカウントのセキュリティを強化します。RAM ユーザーに対して MFA が有効になっている場合、その RAM ユーザーが Alibaba Cloud 管理コンソールにログインする際には、次の操作を実行する必要があります。

1. アカウントのユーザー名とパスワードを入力します。

2. 仮想 MFA デバイスによって生成された検証コードを入力するか、U2F 認証をパスします。

詳細については、「MFA デバイスのバインド」をご参照ください。

RAM ユーザーグループ

RAM ユーザーのグループを含む物理 ID です。RAM ユーザーグループを作成して、RAM ユーザーを分類し、権限を付与できます。これにより、RAM ユーザーと権限の管理が簡素化されます。

• RAM ユーザーの権限が変更された場合、その RAM ユーザーを必要な権限を持つ RAM ユーザーグループに移動するだけで済みます。これは他の RAM ユーザーには影響しません。

  詳細については、「ユーザーグループの作成」をご参照ください。

• RAM ユーザーグループの権限が変更された場合、そのグループにアタッチされているポリシーを変更するだけで済みます。ポリシーの変更は、その RAM ユーザーグループ内のすべての RAM ユーザーに適用されます。

  詳細については、「グループへの権限付与」をご参照ください。

RAM ロール

ポリシーをアタッチできる仮想 ID です。RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な認証情報はありません。RAM ロールは、信頼できるエンティティによって引き受けられた後にのみ使用できます。RAM ロールが信頼できるエンティティによって引き受けられると、その信頼できるエンティティは Security Token Service (STS) トークンを取得し、その STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。

RAM ロールは、信頼できるエンティティに基づいて次のタイプに分類されます。

• Alibaba Cloud アカウント：このタイプの RAM ロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。このタイプの RAM ロールを引き受ける RAM ユーザーは、信頼できる Alibaba Cloud アカウントにのみ属することができます。信頼できる Alibaba Cloud アカウントは、現在の Alibaba Cloud アカウントまたは別の Alibaba Cloud アカウントのいずれかです。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成」をご参照ください。

• Alibaba Cloud サービス：このタイプの RAM ロールは、Alibaba Cloud サービス間のアクセスを承認するために使用されます。信頼できる Alibaba Cloud サービスのみがこのタイプの RAM ロールを引き受けることができます。詳細については、「信頼できる Alibaba Cloud サービスの RAM ロールを作成」および「サービスにリンクされたロール」をご参照ください。

• ID プロバイダー (IdP)：このタイプの RAM ロールは、Alibaba Cloud と信頼できる IdP との間で SSO を実装するために使用されます。信頼できる IdP のユーザーのみがこのタイプの RAM ロールを引き受けることができます。詳細については、「信頼できる IdP の RAM ロールを作成」をご参照ください。

SP

IdP の ID 管理機能を使用してユーザーに特定のサービスを提供するアプリケーションです。サービスプロバイダー (SP) は、IdP によって提供されるユーザー情報を使用します。SAML プロトコルに準拠していない OpenID Connect (OIDC) などの一部の ID システムでは、SP は IdP の依拠当事者として知られています。

IdP

ID 管理サービスを提供する RAM エンティティです。IdP は次のタイプに分類されます。

• Microsoft Active Directory フェデレーションサービス (AD FS) や Shibboleth などのオンプレミスアーキテクチャを使用する IdP。

• Identity as a Service (IDaaS)、Microsoft Entra ID、Google Workspace、Okta、OneLogin などのクラウドベースのアーキテクチャを使用する IdP。

SAML 2.0

エンタープライズレベルのユーザー ID 認証用に設計されたプロトコルです。Security Assertion Markup Language 2.0 (SAML 2.0) は、SP と IdP 間の通信に使用されます。SAML 2.0 は、企業が SSO を実装するために使用する標準です。

SSO

Alibaba Cloud は、SAML 2.0 ベースおよび OIDC ベースの SSO をサポートしています。この機能は ID フェデレーションとも呼ばれます。Alibaba Cloud は、次の SSO メソッドを提供します。

• ユーザーベースの SSO

  Alibaba Cloud 管理コンソールへのログインに使用できる RAM ユーザー ID は、SAML アサーションに基づいて決定されます。Alibaba Cloud 管理コンソールにログインした後、RAM ユーザーとして Alibaba Cloud リソースにアクセスできます。詳細については、「概要」をご参照ください。

• ロールベースの SSO

  • SAML 2.0 ベースの SSO：Alibaba Cloud 管理コンソールへのログインに使用できる RAM ロールは、SAML アサーションに基づいて決定されます。Alibaba Cloud 管理コンソールにログインした後、SAML アサーションで指定された RAM ロールを使用して Alibaba Cloud リソースにアクセスできます。詳細については、「概要」をご参照ください。

  • OIDC ベースの SSO：IdP によって発行された OIDC トークンを使用して Alibaba Cloud の操作を呼び出し、特定の RAM ロールを引き受け、OIDC トークンを使用して STS トークンを取得できます。その後、STS トークンを使用して Alibaba Cloud リソースにアクセスできます。詳細については、「概要」をご参照ください。

メタデータファイル

IdP によって提供されるメタデータファイルです。メタデータファイルは、ほとんどの場合 XML 形式です。メタデータファイルには、ログイン URL、SAML アサーションの検証に使用される公開鍵、およびアサーションのフォーマットが含まれます。

SAML アサーション

SAML プロトコルで定義されているコア要素です。この要素は、認証リクエストとレスポンスを記述します。たとえば、認証レスポンスの SAML アサーションには、ユーザー属性を含めることができます。

信頼

SP と IdP 間の相互信頼関係です。ほとんどの場合、信頼関係は公開鍵と秘密鍵を使用して確立されます。SP は、信頼できる IdP の SAML メタデータを取得できます。メタデータには公開鍵が含まれます。SP は、公開鍵を使用して、IdP によって発行された SAML アサーションの整合性を検証します。

用語

説明

権限

ユーザーが特定の Alibaba Cloud リソースに対して特定の操作を実行できるかどうかを示します。権限には「許可 (Allow)」と「拒否 (Deny)」があります。

操作には次の 2 種類があります。

• リソース管理操作：Alibaba Cloud リソースのライフサイクル管理と O&M。これらの操作は、リソースを購入した Alibaba Cloud アカウントまたは組織の O&M スタッフによって実行されます。たとえば、権限を付与されたユーザーは、Elastic Compute Service (ECS) インスタンスの作成、停止、再起動、または Object Storage Service (OSS) バケットの作成、変更、削除を行うことができます。

• リソース使用操作：Alibaba Cloud リソースのコア機能に対する操作。これらの操作は、組織の研究開発スタッフまたはアプリケーションによって実行されます。たとえば、権限を付与されたユーザーは、ECS インスタンスのオペレーティングシステムで操作を実行したり、OSS でデータをアップロードまたはダウンロードしたりできます。

  説明

  • エラスティックコンピューティングおよびデータベースサービスの場合、リソース管理操作の権限は RAM を使用して管理できます。ただし、リソース使用操作の権限はサービスインスタンス内で管理されます。たとえば、オペレーティングシステムの権限は ECS インスタンスで管理され、MySQL データベースの権限は ApsaraDB RDS インスタンスで管理されます。

  • OSS や Tablestore などのストレージサービスの場合、リソース管理操作とリソース使用操作の両方を RAM を使用して管理できます。

ポリシー

ポリシーの構造と構文に基づいて記述された権限のセットです。ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。ポリシーは、一連の権限を記述する単純な言語仕様の一種です。詳細については、「ポリシーの構造と構文」をご参照ください。

RAM では、ポリシーはリソースエンティティです。RAM は次の 2 種類のポリシーをサポートしています。

• [システムポリシー]：システムポリシーは Alibaba Cloud によって作成およびアップグレードされます。システムポリシーは使用できますが、変更はできません。

• [カスタムポリシー]：ビジネス要件に合わせてカスタムポリシーを作成、変更、削除、アップグレードできます。

RAM ユーザー、RAM ユーザーグループ、RAM ロールに 1 つ以上のポリシーをアタッチできます。詳細については、「RAM ユーザーへの権限付与」、「グループへの権限付与」、および「RAM ロールの権限の管理」をご参照ください。

プリンシパル

特定の権限が付与される主体です。権限を付与されるプリンシパルは、RAM ユーザー、RAM ユーザーグループ、または RAM ロールです。

効果

権限付与の効果です。効果はポリシーの基本要素です。有効な値は「許可 (Allow)」と「拒否 (Deny)」です。

アクション

特定の Alibaba Cloud リソースに対して実行される操作です。アクションはポリシーの基本要素です。有効な値は、Alibaba Cloud サービスの操作名です。

条件

権限付与が有効になるための条件です。条件はポリシーの基本要素です。

リソース

Alibaba Cloud サービスによって提供される管理可能なオブジェクトです。たとえば、オブジェクトには OSS バケットや ECS インスタンスがあります。

ARN

Alibaba Cloud のリソースを識別するために使用されるグローバルに一意な名前です。リソースに権限を付与する場合、リソースの Alibaba Cloud リソース名 (ARN) を acs:<ram-code>:<region>:<account-id>:<relative-id> 形式で指定する必要があります。

• acs：Alibaba Cloud Service の頭字語で、Alibaba Cloud のパブリッククラウドを示します。

• ram-code：RAM で Alibaba Cloud サービスを示すために使用されるコードです。詳細については、「RAM と連携するサービス」の [RAM コード] 列にリストされているコードをご参照ください。

• region：リージョンに関する情報。グローバルリソースの場合、このパラメーターはアスタリスク (*) に設定されます。グローバルリソースは、リージョンを指定しなくてもアクセスできます。詳細については、「リージョンとゾーン」をご参照ください。

• account-id：Apsara Stack テナントアカウントの ID です。たとえば、123456789012**** と入力できます。

• relative-id：サービス関連リソースの識別子です。この要素の意味はサービスによって異なります。relative-id フィールドの形式はファイルパスに似ています。たとえば、relative-id = "mybucket/dir1/object1.jpg" は OSS オブジェクトを示します。