RAM を使用してユーザー権限とリソースを管理する - Resource Access Management

このトピックでは、複数のクラウドリソースを持つ企業が Resource Access Management (RAM) を使用して、クラウドリソースにアクセスするためのユーザー権限を管理する方法について説明します。

前提条件

Alibaba Cloud アカウントが作成されていること。作成されていない場合は、先に作成してください。Alibaba Cloud アカウントを作成するには、Alibaba Cloud アカウントを作成するをクリックします。

背景情報

企業 A は、プロジェクトをクラウドに移行するために、Elastic Compute Service (ECS) インスタンス、ApsaraDB for RDS インスタンス、Server Load Balancer (SLB) インスタンス、Object Storage Service (OSS) バケットなど、さまざまな Alibaba Cloud リソースを購入しました。一部の従業員はこれらのクラウドリソースを管理する必要があり、従業員ごとに職務を遂行するために必要な権限が異なります。

企業 A には次の要件があります。

セキュリティを確保するために、企業 A は Alibaba Cloud アカウントの AccessKey ペアを従業員に開示したくありません。
企業 A は、従業員ごとに異なる RAM ユーザーアカウントを作成し、これらのユーザーアカウントに異なる権限を付与することを好みます。従業員には、職務を遂行するために必要な権限のみが付与されます。
RAM ユーザーは、対応する権限が付与された後にのみリソースを管理できます。RAM ユーザーによって実行されるすべての操作は監査できます。
企業 A は、RAM ユーザーに付与された権限を取り消し、RAM ユーザーアカウントをいつでも削除できます。
RAM ユーザーによって発生したリソースの料金は、親の Alibaba Cloud アカウントに請求されます。

ソリューション

Solution for managing user permissions and resources

Alibaba Cloud アカウントのパスワードが誤って開示されるのを防ぐために、Alibaba Cloud アカウントに対して多要素認証 (MFA) を有効にします。詳細については、「U2F セキュリティキーをバインドする」をご参照ください。
さまざまな従業員またはアプリの RAM ユーザーアカウントを作成し、ビジネス要件に基づいてログインパスワードを指定するか、AccessKey ペアを作成します。詳細については、「RAM ユーザーを作成する」をご参照ください。
複数の従業員が同じ責任を負っている場合は、RAM ユーザーグループを作成し、対応するユーザーをこのグループに追加することをお勧めします。詳細については、「RAM ユーザーグループを作成する」をご参照ください。
1 つ以上のシステムポリシーを RAM ユーザーまたは RAM ユーザーグループにアタッチします。詳細については、「RAM ユーザーに権限を付与する」および「RAM ユーザーグループに権限を付与する」をご参照ください。よりきめ細かい権限管理を行うには、1 つ以上のカスタムポリシーを作成し、それらを RAM ユーザーまたは RAM ユーザーグループにアタッチします。詳細については、「カスタムポリシーを作成する」をご参照ください。
RAM ユーザーグループまたは RAM ユーザーが権限を必要としなくなった場合は、権限を削除します。詳細については、「RAM ユーザーから権限を取り消す」および「RAM ユーザーグループから権限を取り消す」をご参照ください。