すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:RAM ユーザーの作成

最終更新日:May 21, 2026

Alibaba Cloud アカウントのセキュリティを確保するため、最小権限の原則に従い、従業員、システム、またはアプリケーション向けに個別の RAM ユーザーを作成してください。これらのユーザーには、タスクの実行に必要な権限のみを付与します。RAM ユーザーの作成は無料ですが、関連付けられた Alibaba Cloud アカウントには、使用したクラウドリソースに対して課金されます。このトピックでは、RAM コンソールおよび API を使用して RAM ユーザーを作成する方法について説明します。

手順

コンソール

  1. Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザー (AliyunRAMFullAccess ポリシーがアタッチされたユーザー) として、RAM コンソールにサインインします。

  2. 左側のナビゲーションペインで、アイデンティティ > ユーザー を選択します。

  3. ユーザー ページで、ユーザーの作成 をクリックします。

  4. ユーザーの作成 ページの ユーザーアカウント情報 セクションで、ユーザーの基本情報を設定します。

    • ログイン名 (必須):ログイン名には、英字、数字、ピリオド (.)、ハイフン (-)、アンダースコア (_) を使用でき、最大 64 文字まで入力できます。

    • [表示名] (オプション):表示名は最大 128 文字まで入力できます。

    • Tag (オプション)edit をクリックし、タグキーとタグ値を入力します。タグを使用すると、ユーザーの分類と管理が容易になります。

    説明

    ユーザーの追加 をクリックすると、複数の RAM ユーザーを一括で作成できます。

  5. アクセスモード セクションで、ユーザータイプに基づいてアクセスモードを選択します。

    重要
    • セキュリティのベストプラクティスとして、ユーザーごとに 1 つのアクセスモードのみを選択してください。これにより、コンソールアクセスを必要とするユーザーと、プログラムによるアクセスを必要とするアプリケーションを明確に分離できます。

    • AccessKey ペアが漏洩した場合、アカウントのセキュリティが侵害されます。漏洩のリスクを軽減するために、一時的な認証情報であるSecurity Token Service (STS) トークンを優先的に使用してください。詳細については、「アクセス資格情報を使用して Alibaba Cloud API を呼び出す際のベストプラクティス」をご参照ください。

    [コンソールアクセス]

    コンソールへのアクセス を選択します。

    • [ログインパスワードの設定]: パスワードを自動生成するか、カスタムパスワードを設定するかを選択できます。カスタムパスワードは、設定されたパスワードの複雑さの要件を満たす必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。

    • パスワードのリセット:RAM ユーザーが次回サインイン時にパスワードをリセットする必要があるかどうかを選択します。

    • [MFA の有効化]:デフォルトでは、すべてのユーザーのサインインに多要素認証 (MFA) が必要です。この設定を変更するには、「RAM ユーザーのセキュリティ設定を管理する」をご参照ください。RAM ユーザーは、初回サインイン時に MFA デバイスをバインドする必要があります。詳細については、「MFA デバイスをバインドする」をご参照ください。

    [プログラムによるアクセス]

    [永続的な AccessKey を使用してアクセス] を選択します。

    このオプションを有効にすると、システムは自動的に RAM ユーザーの AccessKey IDAccessKey Secret を作成します。

    重要

    RAM ユーザーの AccessKey シークレットは作成時にのみ表示され、後で取得することはできません。 ただちに AccessKey シークレットをダウンロードまたはコピーして保存する必要があります。 漏洩した AccessKey ペアは、アカウント配下のすべてのリソースのセキュリティを著しく損ないます。 詳細については、「AccessKey ペアの作成」をご参照ください。

OpenAPI

コンソールアクセス用の RAM ユーザーの作成

  1. GetDefaultDomain を呼び出して、アカウントのデフォルトのログインサフィックスを取得します。形式は <AccountAlias>.onaliyun.com です。

  2. CreateUser API を呼び出して、RAM ユーザーを作成します。以下のパラメータが必要です。

    1. UserPrincipalName:RAM ユーザーのログイン名。形式は <username>@<AccountAlias>.onaliyun.com です。ここで、<username> は RAM ユーザー名、<AccountAlias>.onaliyun.com はデフォルトのログインサフィックスです。

    2. DisplayName:RAM ユーザーの表示名。上記の <username> とは異なる名前を設定できます。

  3. CreateLoginProfile API を呼び出してログインプロファイルを作成し、アクセスモードと MFA 要件を設定します。一部のパラメータの推奨設定は以下のとおりです。

    1. UserPrincipalName:前の手順で作成したユーザーの情報。

    2. Password:アカウントのパスワード強度要件に従ってパスワードを設定します。GetPasswordPolicy API を呼び出して、現在のアカウントの RAM ユーザーのパスワードポリシーを照会できます。

    3. MFABindRequired:RAM ユーザーに MFA の有効化を要求することを推奨します。推奨されるパラメータ値は true です。

    4. Status:コンソールパスワードログインを有効にするかどうかを指定します。デフォルト値は Active です。

プログラムによるアクセス用の RAM ユーザーの作成

  1. GetDefaultDomain を呼び出して、アカウントのデフォルトのログインサフィックスを取得します。サフィックスの形式は <AccountAlias>.onaliyun.com です。

  2. CreateUser API を呼び出して、RAM ユーザーを作成します。以下のパラメータが必要です。

    1. UserPrincipalName:RAM ユーザーのログイン名。形式は <username>@<AccountAlias>.onaliyun.com です。ここで、<username> は RAM ユーザー名、<AccountAlias>.onaliyun.com はデフォルトのログインサフィックスです。

    2. DisplayName:RAM ユーザーの表示名。上記の <username> とは異なる名前を設定できます。

  3. AccessKey ペア (AccessKey) を作成するには、CreateAccessKey API を呼び出し、前の手順で作成したユーザーの UserPrincipalName のみを渡します。

    重要

    CreateAccessKey API コールのレスポンスには、AccessKeyIdAccessKeySecret が含まれています。 AccessKeySecret はこのレスポンスでのみ提供され、後で取得することはできません。 すぐに保存する必要があります。 AccessKey が漏洩すると、アカウント内のすべてのリソースのセキュリティが著しく脅かされます。 詳細については、「AccessKey の作成」をご参照ください。

次のステップ

  1. RAM ユーザーに権限を付与します。

    新規に作成された RAM ユーザーには権限がありません。必要なクラウドリソースにアクセスするには、そのユーザーに権限を付与する必要があります。詳細については、「RAM ユーザーの権限を管理する」をご参照ください。

  2. RAM ユーザーとして Alibaba Cloud コンソールにサインインするか、Alibaba Cloud API を呼び出します。

    詳細については、「RAM ユーザーとして Alibaba Cloud コンソールにサインインする」および「API 統合の概要」をご参照ください。

  3. (任意) RAM ユーザーのログオンサフィックスを変更します。詳細については、「RAM ユーザーのログオンサフィックスを管理する」をご参照ください。