RAM ユーザーの AccessKey ペアの概要 - Resource Access Management

このトピックでは、AccessKey ペアとは何か、および Resource Access Management (RAM) ユーザーまたは Alibaba Cloud アカウントの AccessKey ペアを作成する方法について説明します。

AccessKey ペアとは

AccessKey ペアは、Alibaba Cloud API へのプログラムによるリクエストを認証するために使用される長期的なセキュリティ認証情報です。AccessKey ID と AccessKey Secret で構成されます。

AccessKey ID: AccessKey ペアの一意の公開識別子です。
AccessKey Secret: API リクエストのデジタル署名を計算するために使用されるシークレットキーです。この署名は、リクエストの信頼性と整合性を検証します。AccessKey Secret は厳重に機密保持する必要があります。

重要

漏洩のリスクを軽減するため、AccessKey Secret は作成時にのみ表示またはダウンロードできます。後で取得することはできません。安全に保管してください。

AccessKey ペアの使用方法

AccessKey ペアは、コマンドラインインターフェイス (CLI)、SDK、または Terraform などのツールを介して Alibaba Cloud サービスへのプログラムによるアクセスのみを目的としています。AccessKey ペアを使用して Alibaba Cloud コンソールにログインすることはできません。

ベストプラクティスとして、AccessKey ペアをアプリケーションに直接埋め込むべきではありません。代わりに、RAM ロールを引き受けることによって生成される一時的なセキュリティ認証情報 (STS トークン) を使用することを推奨します。このアプローチにより、認証情報の侵害に関連するリスクが軽減されます。特定のユースケースについては、「RAM を使用するタイミング」をご参照ください。

ご利用のユースケースで AccessKey ペアが必要な場合は、「ID およびアクセス管理のベストプラクティス」をご参照ください。

AccessKey ペアの仕組み

RAM は、特定のアルゴリズムを使用して AccessKey ID と AccessKey Secret を生成します。これらの認証情報は、ストレージ中および転送中に暗号化されます。

アプリケーションがリクエストを行う際、AccessKey Secret を使用してデジタル署名を計算し、その署名をリクエストに含めます。Alibaba Cloud がリクエストを受信すると、AccessKey ID を使用してシークレットを検索し、署名を検証します。このプロセスにより、送信者の ID とリクエストの整合性が検証されます。Alibaba Cloud が使用する特定の署名方式の詳細については、「リクエスト構文と署名方式 V3」をご参照ください。

AccessKey ペアのカテゴリ

AccessKey ペアは、Alibaba Cloud アカウントまたは RAM ユーザーのいずれかに属することができます。AccessKey ペアは、その所有者に基づいて分類されます。

Alibaba Cloud アカウントの AccessKey ペア (非推奨)
このタイプの AccessKey ペアは、Alibaba Cloud アカウントに属します。アカウント内のすべてのリソースに対するフルアクセス権限を持ちます。AccessKey ペアが侵害されると、極めて高いセキュリティリスクが生じます。Alibaba Cloud アカウントの AccessKey ペアを作成または使用しないことを強く推奨します。
RAM ユーザーの AccessKey ペア (推奨)
このタイプの AccessKey ペアは、RAM ユーザーに属します。そのユーザーに付与された権限のみを持ち、最小権限の原則に従うことができます。ベストプラクティスとして、アプリケーションごとに一意の RAM ユーザーと AccessKey ペアを作成してください。これにより、認証情報の共有によって生じる漏洩のリスクが軽減されます。

権限要件

Alibaba Cloud アカウントはすべてのリソースへのフルアクセス権限を持つため、本番環境で AccessKey ペアを作成するために使用することは避けるべきです。代わりに、ベストプラクティスとして、他の RAM ユーザーの AccessKey ペアを作成および管理するために必要な権限のみが付与された RAM ユーザーを使用してください。

RAM 管理者に AliyunRAMFullAccess システムポリシーをアタッチすることで、RAM ユーザーの AccessKey ペアの作成と管理を許可できます。
また、RAM のグローバルセキュリティ設定で [AccessKey の管理をユーザーに許可] オプションを有効化することで、RAM ユーザーが自身の AccessKey ペアを管理できるようにすることもできます。詳細については、「セキュリティ設定の管理」をご参照ください。
説明
この設定を有効にすると、管理者がこれらの操作を明示的に拒否するポリシーをアタッチしない限り、すべての RAM ユーザーが自身の AccessKey ペアを管理できるようになります。これには、AccessKey ペアの作成、無効化、削除などのすべての関連操作が含まれます。
本番環境でこの設定を有効にすることは推奨しません。特定の RAM ユーザーが自身の AccessKey ペアを管理できるようにするには、カスタムポリシーを使用し、ポリシーの Resource 要素をユーザー自身の Alibaba Cloud Resource Name (ARN) に設定することを推奨します。以下のポリシーのサンプルをご参照ください。
RAM ユーザーが自身の AccessKey ペアを作成できるようにする
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }
RAM ユーザーが自身の AccessKey ペアを管理できるようにする
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ram:CreateAccessKey", "ram:ListAccessKeys", "ram:UpdateAccessKey", "ram:DeleteAccessKey", "ram:GetAccessKeyLastUsed", "ram:ListAccessKeysInRecycleBin" ], "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME" } ] }

RAM ユーザーの AccessKey ペアの作成

RAM 管理者 (AliyunRAMFullAccess ポリシーがアタッチされたユーザー) は、次の操作を実行できます。アカウントに RAM ユーザーがいない場合は、まず1つ作成します。

コンソール

RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
対象の [RAM ユーザー] を見つけ、そのユーザー名をクリックします。
「AccessKey」タブで、「AccessKey の作成」をクリックします。
説明
各 RAM ユーザーは最大 2 つの AccessKey ペアを持つことができます。1 つは通常の使用用、もう 1 つは古いものを置き換えるためのローテーション用に作成されます。
表示されるダイアログボックスで、AccessKey ペアの使用に関するテストケースと推奨事項を確認します。より適切な認証情報ソリューションを選択することを推奨します。AccessKey ペアを作成する必要がある場合は、テストケースを選択し、[AccessKey の作成が必要であることを確認します] を選択して、[続行] をクリックします。この選択はデータ収集目的であり、作成された AccessKey ペアの権限やプロパティには影響しません。
プロンプトに従ってセキュリティ検証を完了します。
「[AccessKey の作成]」ダイアログボックスで、AccessKey ID と AccessKey Secret を保存し、「[OK]」をクリックします。
（オプション）AccessKey ネットワークアクセス制御の設定：AccessKey ペアを使用する API リクエストのソース IP アドレスを制限できます。これにより、AccessKey ペアへのアクセスを信頼されたネットワーク環境に限定することで、セキュリティが向上します。AccessKey ペアを使用するネットワーク環境を特定し、[設定へ移動] をクリックすることを推奨します。詳細については、「RAM ユーザー向けの AccessKey ペアレベルポリシーの設定」をご参照ください。
重要
漏洩のリスクを軽減するため、AccessKey Secret は作成時にのみ表示されます。後で取得することはできません。安全に保管してください。

API

CreateAccessKey 操作を呼び出して AccessKey ペアを作成し、次のパラメーターを指定します。

UserPrincipalName：AccessKey ペアが属する RAM ユーザーのログイン名です。フォーマットは test@example.onaliyun.com です。RAM ユーザーのログイン名は RAM コンソールで確認できます。

重要

漏洩のリスクを軽減するため、AccessKey Secret は CreateAccessKey 操作を呼び出したときにのみ表示されます。後で取得することはできません。安全に保管してください。

Alibaba Cloud アカウントの AccessKey ペアの作成 (非推奨)

警告

必要でない限り、Alibaba Cloud アカウントの AccessKey ペアを作成または使用しないことを強く推奨します。続行する前に、代わりに RAM ユーザーの AccessKey ペアを使用できるかどうかを評価してください。

Alibaba Cloud アカウントを使用して RAM コンソールにログインします。
右上隅のプロフィール画像にマウスカーソルを合わせ、[AccessKey] をクリックします。
「[クラウドアカウントのAccessKeyペアは推奨されません]」ダイアログボックスで、Alibaba Cloud アカウント用のAccessKey ペアを作成するリスクを確認します。続行するには、「[メインアカウントのAccessKeyを使用するセキュリティリスクを理解しています]」を選択し、「[クラウドアカウントのAccessKeyを使用]」をクリックします。
[AccessKey] ページで、[AccessKey を作成] をクリックします。
説明
Alibaba Cloud アカウントは最大 2 つの AccessKey ペアを持つことができます。1 つは通常の使用用、もう 1 つは古いものを置き換えるためのローテーション用に作成されます。
[メインアカウント AccessKey の作成] ダイアログボックスで、セキュリティリスクと制限を再度確認します。 AccessKey ペアを作成するには、[メインアカウントの AccessKey を使用することによるセキュリティリスクを理解しています] を選択し、[メインアカウント AccessKey の使用] をクリックします。
［Create AccessKey］ダイアログボックスで、AccessKey ID と AccessKey Secret を保存し、［I have saved the AccessKey Secret］を選択して、［OK］をクリックします。
(オプション) AccessKey ネットワークアクセス制御の設定: AccessKey ペアを使用する API リクエストの送信元 IP アドレスを制限できます。これにより、AccessKey ペアへのアクセスを信頼されたネットワーク環境に限定することで、セキュリティが向上します。AccessKey ペアを使用するネットワーク環境を特定し、[設定へ移動] をクリックすることを推奨します。詳細については、「Alibaba Cloud アカウント向けの AccessKey ペアレベルポリシーの設定」をご参照ください。
重要
漏洩のリスクを軽減するため、Alibaba Cloud アカウントの AccessKey Secret は作成時にのみ表示されます。後で取得することはできません。安全に保管してください。

Resource Access Management:Create an AccessKey pair