RAM ユーザーの作成 - Resource Access Management - Alibaba Cloud ドキュメントセンター

ご利用の Alibaba Cloud アカウントのセキュリティを確保するため、最小権限の原則に従い、従業員、システム、アプリケーションごとに個別の Resource Access Management (RAM) ユーザーを作成することを推奨します。これらのユーザーには、タスクの実行に必要な権限のみを付与できます。RAM ユーザーの作成は無料です。ご利用の Alibaba Cloud アカウントには、RAM ユーザーが使用したリソースに対して課金されます。このトピックでは、RAM コンソールおよび API 操作の呼び出しによって RAM ユーザーを作成する方法について説明します。

操作手順

コンソール

Alibaba Cloud アカウントまたは RAM 管理者アカウント (ポリシー AliyunRAMFullAccess など) を使用して、RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
ユーザー ページで、ユーザーの作成 をクリックします。
ユーザーの作成 ページの ユーザーアカウント情報 セクションで、ユーザーの基本情報を設定します。
- ログイン名 (必須)：ログイン名は、英字、数字、ピリオド (.)、ハイフン (-)、アンダースコア (_) を使用できます。長さは 64 文字までです。
- [表示名] (任意)：表示名は 128 文字までです。
- [タグ] (任意)：アイコンをクリックし、タグキーとタグ値を入力します。タグは、RAM ユーザーの分類と管理に役立ちます。
説明
ユーザーの追加 をクリックすると、複数の RAM ユーザーを同時に作成できます。
アクセスモード セクションで、ユーザータイプに基づいてアクセスモードを選択します。
重要
- セキュリティのベストプラクティスとして、ユーザーごとに 1 つのアクセスモードのみを選択することを推奨します。これにより、コンソールアクセスが必要な人間のユーザーと、プログラムによるアクセスが必要なアプリケーションが明確に分離されます。
- AccessKey ペアは、プログラムによるアクセスのための長期的な認証情報です。AccessKey が漏洩すると、アカウント内のすべてのリソースのセキュリティが危険にさらされます。認証情報の漏洩リスクを低減するために、セキュリティトークンサービス (STS) トークンを一時的な認証情報として使用することを推奨します。詳細については、「アクセス認証情報を使用した API 操作の呼び出しに関するベストプラクティス」をご参照ください。
コンソールアクセス
人間のユーザー (従業員など) の場合は、コンソールへのアクセス を選択します。
- ログインパスワードの設定：次のいずれかのパスワードオプションを選択します。
  - デフォルトパスワードを自動的に再生成
  - [カスタムパスワードをリセット]。カスタムパスワードは、パスワードの複雑さの要件を満たす必要があります。
    詳細については、「RAM ユーザーのパスワードポリシーの設定」をご参照ください。
- パスワードのリセット：RAM ユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。
- MFA の有効化：デフォルトでは、ログインに多要素認証 (MFA) が必要です。この設定を変更するには、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。RAM ユーザーは、最初のログイン時に MFA デバイスをバインドする必要があります。詳細については、「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。
プログラムによるアクセス
アプリケーションまたはシステムの場合は、[永続的な AccessKey を使用したアクセス] を選択します。
このオプションを有効にすると、システムは RAM ユーザーの AccessKey ID と AccessKey Secret を自動的に作成します。
重要
AccessKey Secret は作成時に一度しか表示されず、後で取得することはできません。これは、シークレットを表示して保存する唯一の機会です。ただちにコピーして安全な場所に保存するか、[CSV ファイルのダウンロード] をクリックしてファイルをダウンロードする必要があります。AccessKey ペアが漏洩すると、アカウント内のすべてのリソースのセキュリティが危険にさらされます。詳細については、「AccessKey ペアの作成」をご参照ください。

OpenAPI

コンソールアクセス用の RAM ユーザーの作成

GetDefaultDomain を呼び出して、アカウントのデフォルトドメイン名を取得します。フォーマットは <AccountAlias>.onaliyun.com です。
CreateUser を呼び出して RAM ユーザーを作成します。必須パラメーターは次のとおりです。
1. UserPrincipalName：RAM ユーザーのログイン名。フォーマットは <username>@<AccountAlias>.onaliyun.com です。<username> は RAM ユーザーの名前で、<AccountAlias>.onaliyun.com はデフォルトドメイン名です。
2. DisplayName：RAM ユーザーの表示名。<username> とは異なる名前にすることができます。
CreateLoginProfile を呼び出してユーザーのログインプロファイルを作成し、コンソールアクセスを有効にします。一部のパラメーターの推奨設定は次のとおりです。
1. UserPrincipalName：前のステップで作成した RAM ユーザーのログイン名。
2. Password：アカウントのパスワードの複雑さの要件を満たすパスワードを設定します。GetPasswordPolicy を呼び出して、RAM ユーザーのパスワードポリシーをクエリできます。
3. MFABindRequired：RAM ユーザーに MFA を要求することを推奨します。これを行うには、このパラメーターを true に設定します。
4. Status：パスワードベースのコンソールへのログインを有効にするかどうかを指定します。デフォルト値の Active のままにします。

プログラムによるアクセス用の RAM ユーザーの作成

GetDefaultDomain を呼び出して、アカウントのデフォルトドメイン名を取得します。フォーマットは <AccountAlias>.onaliyun.com です。
CreateUser を呼び出して RAM ユーザーを作成します。必須パラメーターは次のとおりです。
1. UserPrincipalName：RAM ユーザーのログイン名。フォーマットは <username>@<AccountAlias>.onaliyun.com です。<username> は RAM ユーザーの名前で、<AccountAlias>.onaliyun.com はデフォルトドメイン名です。
2. DisplayName：RAM ユーザーの表示名。<username> とは異なる名前にすることができます。
CreateAccessKey を呼び出して AccessKey ペアを作成します。AccessKey ペアを作成するには、前のステップで作成した RAM ユーザーの UserPrincipalName を指定するだけです。
重要
CreateAccessKey API 操作は AccessKey ID と AccessKey Secret を返します。これは、シークレットを表示して保存する唯一の機会です。ただちにコピーして安全な場所に保存する必要があります。AccessKey ペアが漏洩すると、アカウント内のすべてのリソースのセキュリティが危険にさらされます。詳細については、「AccessKey の作成」をご参照ください。

次のステップ

RAM ユーザーに権限を付与します。
新しく作成された RAM ユーザーには権限がありません。ユーザーが必要なクラウドリソースにアクセスできるように、ユーザーに権限を付与する必要があります。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
RAM ユーザーとして Alibaba Cloud 管理コンソールにログインするか、Alibaba Cloud API 操作を呼び出します。
詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログイン」および「RAM API の概要」をご参照ください。
必要に応じて、RAM ユーザーのログインドメイン名を変更します。詳細については、「デフォルトドメイン名の表示と変更」をご参照ください。