Alibaba Cloud AccessKey ペアの作成 - Resource Access Management - Alibaba Cloud ドキュメントセンター

この Topic では、AccessKey ペアとは何か、そして Resource Access Management (RAM) ユーザーまたは Alibaba Cloud アカウント用に AccessKey ペアを作成する方法について説明します。

AccessKey ペアとは

AccessKey ペアは、Alibaba Cloud がユーザーに提供する長期的なアクセス認証情報です。AccessKey ID と AccessKey Secret で構成されます。

AccessKey ID：AccessKey ペアの一意の公開識別子です。
AccessKey Secret：AccessKey ペアのシークレット部分です。API リクエストに署名し、リクエストの信頼性と完全性を検証するために使用されます。AccessKey Secret は厳重に機密情報として保管する必要があります。

重要

漏洩のリスクを低減するため、AccessKey Secret は作成時に一度しか表示されません。後から取得することはできません。必ず安全な場所に保管してください。

AccessKey ペアの使用方法

AccessKey ペアを使用してコンソールにログインすることはできません。代わりに、コマンドラインインターフェイス (CLI)、ソフトウェア開発キット (SDK)、または Terraform などのツールを使用して、プログラムによって Alibaba Cloud API を呼び出すために使用します。

ベストプラクティスとして、アプリケーションやサービスでは、可能な限り AccessKey ペアを直接使用して Alibaba Cloud リソースにアクセスすることを避けるべきです。Alibaba Cloud は、AccessKey ペアを必要とせず、Security Token Service (STS) トークンなどのより安全な一時的な認証情報を使用してリソースにアクセスできる複数のソリューションを提供しています。具体的なユースケースについては、「アプリケーション開発シナリオ」をご参照ください。

AccessKey ペアを作成して使用する必要がある場合は、その使用に関するベストプラクティスをご参照ください：「やむを得ず使用する AccessKey ペアの適切な保管と使用」。

AccessKey ペアの仕組み

Resource Access Management (RAM) は、特定のアルゴリズムを使用して AccessKey ID と AccessKey Secret を生成します。Alibaba Cloud は、これらの認証情報をストレージと転送の両方で暗号化します。

アプリケーションが AccessKey ペアを使用してリクエストを行う際、リクエストには AccessKey ID と署名が含まれます。署名は、リクエストの内容を AccessKey Secret で暗号化することによって生成されます。Alibaba Cloud がリクエストを受信すると、ID 検証とリクエストの正当性の検証を実行します。Alibaba Cloud が使用する具体的な署名メカニズムの詳細については、「V3 のリクエスト本文と署名メカニズム」をご参照ください。

AccessKey ペアのカテゴリ

AccessKey ペアは、Alibaba Cloud アカウントまたは RAM ユーザーのいずれかに属することができます。AccessKey ペアは、そのオーナーに基づいて分類されます：

Alibaba Cloud アカウントの AccessKey ペア (非推奨)
このタイプの AccessKey ペアは、Alibaba Cloud アカウントによって直接作成されます。デフォルトでは、アカウント配下のすべてのリソースに対する完全な権限を持ち、あらゆる操作を実行できます。ルートの AccessKey ペアが漏洩すると、非常に高いセキュリティリスクが生じます。Alibaba Cloud アカウントの AccessKey ペアを作成または使用しないことを強く推奨します。
RAM ユーザーの AccessKey ペア (推奨)
これは RAM ユーザー向けのプログラムによるアクセス認証情報です。ユーザーの AccessKey ペアを作成する前に、RAM ユーザーを作成する必要があります。RAM ユーザーの AccessKey ペアは、そのユーザーの権限を継承するため、最小権限でのアクセス管理が可能になります。独立したビジネスアプリケーションごとに、個別の RAM ユーザーと AccessKey ペアを割り当てることを推奨します。この方法により、過剰な権限の付与や、認証情報の共有による漏洩リスクの増大を防ぐことができます。

権限要件

Alibaba Cloud アカウントは過剰な権限を持っています。このため、本番環境で AccessKey ペアを作成するために使用することは避けるべきです。代わりに、Alibaba Cloud アカウントの AccessKey ペアを除き、AccessKey ペアを作成および管理するために必要な権限が付与された RAM ユーザーを使用してください。

管理者に AliyunRAMFullAccess システムポリシー (RAM 管理者) をアタッチすることで、RAM ユーザーの AccessKey ペアの作成と管理を許可できます。
また、RAM のグローバルセキュリティ設定で [ユーザーに自身の AccessKey の管理を許可] オプションを有効にすることで、ユーザーが自身の AccessKey ペアを管理できるようにすることもできます。詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。
説明
この設定を有効にすると、すべての RAM ユーザーが自身の AccessKey ペアを管理できるようになります。これには、管理者がこれらの操作を明示的に拒否するポリシーをアタッチしない限り、AccessKey ペアの作成、無効化、削除などのすべての関連操作が含まれます。
本番環境でこの設定を有効にすることは推奨しません。特定のユーザーに自身の AccessKey ペアの管理を許可するには、カスタムポリシーを使用し、Resource をそのユーザーに限定することを推奨します。以下のサンプルポリシーをご参照ください：
ユーザー自身による AccessKey ペアの作成許可
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }
ユーザー自身による AccessKey ペアの管理許可
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys", "ram:UpdateAccessKey", "ram:DeleteAccessKey", "ram:GetAccessKeyLastUsed", "ram:ListAccessKeysInRecycleBin" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }

RAM ユーザーの AccessKey ペアの作成

RAM 管理者 (AliyunRAMFullAccess) は、以下の操作を実行できます。アカウントに RAM ユーザーがいない場合は、「RAM ユーザーの作成」をご参照ください。

説明

RAM ユーザーが自身の AccessKey ペアを作成する手順は、「Alibaba Cloud アカウントの AccessKey ペアの作成」の手順と同じです。

コンソール

RAM コンソールにログインします。左側のナビゲーションウィンドウで、ID > ユーザーを選択します。
ユーザーリストで、対象の RAM ユーザーのユーザー名をクリックします。
[認証] タブの [AccessKey] セクションで、[AccessKey の作成] をクリックします。
説明
各 RAM ユーザーは最大 2 つの AccessKey ペアを持つことができます。1 つは通常使用のため、もう 1 つは古いものを置き換えるためのローテーション用に作成されます。
表示されるダイアログボックスで、AccessKey ペアの使用シナリオと推奨事項を確認します。より適切な認証情報ソリューションを選択することを推奨します。AccessKey ペアを作成する必要がある場合は、シナリオを選択し、[AccessKey を作成する必要があることを確認します] を選択してから、[作成を続行] をクリックします。選択したシナリオは、作成される AccessKey ペアには影響しません。
プロンプトに従ってセキュリティ検証を完了します。
[AccessKey の作成] ダイアログボックスで、AccessKey ID と AccessKey Secret を保存し、[OK] をクリックします。
AccessKey ペアのネットワークアクセス制限ポリシーの設定 (オプション)：AccessKey ペアを使用する API リクエストのソース IP アドレスを制限できます。これにより、AccessKey ペアへのアクセスを信頼できるネットワーク環境に限定し、セキュリティを向上させます。AccessKey ペアが使用されるネットワーク環境を特定し、[ネットワークアクセスポリシーの設定] をクリックすることを推奨します。詳細については、「RAM ユーザーの AccessKey レベルのネットワークアクセス制限ポリシーの設定」をご参照ください。
重要
漏洩のリスクを低減するため、AccessKey Secret は作成時に一度しか表示されません。後から取得することはできません。必ず安全な場所に保管してください。

OpenAPI

CreateAccessKey 操作を呼び出して AccessKey ペアを作成し、次のパラメーターを指定します：

UserPrincipalName：AccessKey ペアが属するユーザーのログイン名。フォーマットは test@example.onaliyun.com です。ユーザーのログイン名は RAM コンソールで確認できます。

重要

漏洩のリスクを低減するため、AccessKey Secret は CreateAccessKey 操作を呼び出したときにのみ表示されます。後から取得することはできません。必ず安全な場所に保管してください。

Alibaba Cloud アカウントの AccessKey ペアの作成 (非推奨)

警告

必要な場合を除き、Alibaba Cloud アカウントの AccessKey ペアを作成または使用しないことを強く推奨します。続行する前に、代わりに RAM ユーザーの AccessKey ペアを使用できるかどうかを評価してください。

Alibaba Cloud アカウントで Alibaba Cloud マネジメントコンソールにログインします。
右上のプロフィール画像にカーソルを合わせ、[AccessKey の管理] をクリックします。
[Alibaba Cloud アカウントの AccessKey の使用は推奨されません] ダイアログボックスで、Alibaba Cloud アカウントの AccessKey ペアを作成するリスクを確認します。続行するには、[Alibaba Cloud アカウントの AccessKey を使用する際のセキュリティリスクを理解しました] を選択し、[Alibaba Cloud アカウントの AccessKey の使用を続行] をクリックします。
[AccessKey の管理] ページで、[AccessKey の作成] をクリックします。
説明
Alibaba Cloud アカウントは最大 2 つの AccessKey ペアを持つことができます。1 つは通常使用のため、もう 1 つは古いものを置き換えるためのローテーション用に作成されます。
[Alibaba Cloud アカウントの AccessKey の作成] ダイアログボックスで、セキュリティリスクと制限を再度確認します。AccessKey ペアを作成するには、[Alibaba Cloud アカウントの AccessKey を使用する際のセキュリティリスクを理解しました] を選択し、[Alibaba Cloud アカウントの AccessKey の使用を続行] をクリックします。
[AccessKey の作成] ダイアログボックスで、AccessKey ID と AccessKey Secret を保存し、[AccessKey Secret を保存しました] を選択してから、[OK] をクリックします。
AccessKey ペアのネットワークアクセス制限ポリシーの設定 (推奨)：AccessKey ペアを使用する API リクエストのソース IP アドレスを制限できます。これにより、AccessKey ペアへのアクセスを信頼できるネットワーク環境に限定し、セキュリティを向上させます。AccessKey ペアが使用されるネットワーク環境を特定し、[ネットワークアクセスポリシーの設定] をクリックすることを推奨します。詳細については、「Alibaba Cloud アカウントの AccessKey レベルのネットワークアクセス制限ポリシーの設定」をご参照ください。
重要
漏洩のリスクを低減するため、Alibaba Cloud アカウントの AccessKey Secret は作成時に一度しか表示されません。後から取得することはできません。必ず安全な場所に保管してください。

Resource Access Management:AccessKey ペアの作成