すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:AccessKey ペアの作成

最終更新日:Jun 13, 2025

このトピックでは、Resource Access Management (RAM) ユーザーと Alibaba Cloud アカウントの AccessKey ペアを作成する方法について説明します。

AccessKey ペアとは

AccessKey ペアは、Alibaba Cloud がユーザーに提供する永続的なアクセス認証情報です。 AccessKey ペアは、AccessKey ID と AccessKey シークレットで構成されます。

  • AccessKey ID は、ユーザーを識別するために使用されます。

  • AccessKey シークレットは、ユーザーの ID を検証するために使用されます。

AccessKey ID と AccessKey シークレットは、アルゴリズムに基づいて RAM によって生成されます。 Alibaba Cloud は、ストレージと転送中に AccessKey ID と AccessKey シークレットを暗号化します。

コンソールログインには AccessKey ペアを使用できません。 API、CLI、SDK、Terraform などの開発ツールを使用して Alibaba Cloud にアクセスする場合、開始されたリクエストには、AccessKey ID と、AccessKey シークレットを使用してリクエストを暗号化するために生成された署名が含まれます。 この場合、AccessKey ペアは、ID 検証とリクエストの有効性検証に使用されます。

AccessKey ペアのベストプラクティス

AccessKey ペアは、プログラム用に設計された永続的な認証情報です。 アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。

  • Alibaba Cloud アカウントの AccessKey ペアは作成しないことをお勧めします。

    デフォルトでは、Alibaba Cloud アカウントは管理者であり、Alibaba Cloud アカウントのすべての Alibaba Cloud リソースを管理する権限を持っています。 Alibaba Cloud アカウントの権限を変更することはできません。 Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。 アカウントのセキュリティを確保するために、Alibaba Cloud アカウントの AccessKey ペアは作成しないことをお勧めします。 API アクセスモードのみが有効になっている RAM ユーザーを作成し、その RAM ユーザーの AccessKey ペアを作成することをお勧めします。 最小権限の原則に基づいて必要な権限のみを RAM ユーザーに付与すると、RAM ユーザーは API 操作を呼び出して Alibaba Cloud リソースにアクセスできます。

  • 認証情報の漏洩を減らすために、AccessKey ペアではなく Security Token Service (STS) トークンを作成することをお勧めします。

  • AccessKey ペアは機密にしてください。 AccessKey ペアを共有したり、公開ドキュメントに含めたりしないでください。

  • プレーンテキストの AccessKey ペアをコードに含めないでください。

  • AccessKey ペアが不要な場合は、できるだけ早く無効にしてください。

  • AccessKey ペアを定期的にローテーションします。 RAM ユーザーが AccessKey ペアを有効にすると、もう一方の AccessKey ペアはローテーションにのみ使用されます。

  • 権限の原則に基づいて、必要な権限のみを RAM ユーザーに付与します。

詳細については、「アクセス認証情報を使用して API 操作を呼び出すためのベストプラクティス」をご参照ください。

RAM ユーザーの AccessKey ペアを作成する

前提条件

次のいずれかのアカウントを使用して、RAM ユーザーの AccessKey ペアを作成できます。

  • Alibaba Cloud アカウント。

  • RAM 管理者。

  • AccessKey ペアを管理する権限が付与されている RAM ユーザー。 RAM ユーザーが属する Alibaba Cloud アカウントを使用して、権限を付与できます。 RAM ユーザーに AccessKey ペアを管理する権限を付与する方法の詳細については、「RAM ユーザーのセキュリティ設定を管理する」をご参照ください。

制限

  • RAM ユーザーの AccessKey シークレットは、RAM ユーザーの AccessKey ペアを作成するときにのみ表示されます。 後続の操作で AccessKey シークレットを照会することはできません。 これにより、AccessKey ペアの漏洩のリスクを軽減できます。 AccessKey シークレットを記録し、機密にしてください。

  • 1 人の RAM ユーザーにつき、最大 2 つの AccessKey ペアを作成できます。

手順

  1. [RAM コンソール] にログインします。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. [ユーザー] ページで、管理する RAM ユーザーのユーザー名をクリックします。

  4. [アクセスキー] セクションの [認証] タブで、[アクセスキーの作成] をクリックします。

    image

  5. 各シナリオの提案を読み、ビジネス要件に基づいて認証ソリューションを選択します。 AccessKey ペアを作成する必要がある場合は、シナリオを選択し、[AccessKey を作成する必要があることを確認します] を選択して、[続行] をクリックします。 作成された AccessKey ペアは、すべてのシナリオで使用できます。

    image

  6. [AccessKey の作成] ダイアログボックスで、AccessKey ID と AccessKey シークレットを保存し、[OK] をクリックします。

    ネットワークアクセス制御の AccessKey ペアベースのポリシーを使用すると、特定の送信元 IP アドレスが特定の AccessKey ペアを使用して API 操作を呼び出すことを許可できます。 これにより、信頼できるネットワークからの送信元 IP アドレスのみが AccessKey ペアを使用できるようになり、AccessKey ペアのセキュリティが強化されます。 [ネットワークアクセス制御ポリシーの設定] をクリックして、信頼できるネットワークの AccessKey ペアベースのネットワークアクセス制御ポリシーを設定することをお勧めします。 詳細については、「RAM ユーザーのネットワークアクセス制御の AccessKey ペアレベルのポリシーを設定する」をご参照ください。

image

Alibaba Cloud アカウントの AccessKey ペアを作成する

制限

  • Alibaba Cloud アカウントの AccessKey シークレットは、Alibaba Cloud アカウントの AccessKey ペアを作成するときにのみ表示されます。 後続の操作で AccessKey シークレットを照会することはできません。 これにより、AccessKey ペアの漏洩のリスクを軽減できます。 AccessKey シークレットを記録し、機密にしてください。

  • 1 つの Alibaba Cloud アカウントにつき、最大 5 つの AccessKey ペアを作成できます。

手順

  1. Alibaba Cloud アカウントで [Alibaba Cloud 管理コンソール] にログインします。

  2. 表示されるページの右上隅にあるプロフィール画像にポインターを移動し、[AccessKey] をクリックします。

    image

  3. [メインアカウント AccessKey は推奨されません] ダイアログボックスで、Alibaba Cloud アカウントの AccessKey ペアを使用することによって発生するリスクを確認し、[メインアカウント AccessKey を使用することのセキュリティリスクを認識しています] を選択し、[メインアカウント AccessKey を使用する] をクリックします。

    image

  4. [AccessKey] ページで、[AccessKey の作成] をクリックします。

    image

  5. [メインアカウント AccessKey の作成] ダイアログボックスで、Alibaba Cloud アカウントの AccessKey ペアを作成することによって発生するリスクと、Alibaba Cloud アカウントの AccessKey ペアの使用に関する制限事項を読み、[メインアカウント AccessKey を使用することのセキュリティリスクを認識しています] を選択し、[メインアカウント AccessKey を使用する] をクリックします。

    image

  6. [AccessKey の作成] ダイアログボックスで、AccessKey ID と AccessKey シークレットを保存し、[AccessKey シークレットを保存しました] を選択し、[OK] をクリックします。

    ネットワークアクセス制御の AccessKey ペアベースのポリシーを使用すると、特定の送信元 IP アドレスが特定の AccessKey ペアを使用して API 操作を呼び出すことを許可できます。 これにより、信頼できるネットワークからの送信元 IP アドレスのみが AccessKey ペアを使用できるようになり、AccessKey ペアのセキュリティが強化されます。 [ネットワークアクセス制御ポリシーの設定] をクリックして、信頼できるネットワークの AccessKey ペアベースのネットワークアクセス制御ポリシーを設定することをお勧めします。 詳細については、「Alibaba Cloud アカウントのネットワークアクセス制御の AccessKey ペアレベルのポリシーを設定する」をご参照ください。

image

参考資料