RAM ユーザーが不要になった場合は、セキュリティの向上と管理の簡素化のため、速やかにユーザーを無効化または削除する必要があります。このトピックでは、削除前のセキュリティ評価、ユーザーのごみ箱への移動、ユーザーの復元、ユーザーの完全削除など、RAM ユーザーのライフサイクル管理全体について説明します。
RAM ユーザー削除前のセキュリティ評価
RAM ユーザーを削除する前に、サービスの停止を防ぐため、システムやアプリケーションがそのユーザーを使用していないことを確認してください。ベストプラクティスとして、「まず無効化、次に削除」というアプローチを推奨します。
削除前の最終チェックリスト
ユーザーを削除する前に、以下のチェックを完了してください。
AccessKey アクティビティの確認:
RAM コンソールで、ユーザーの詳細ページに移動し、AccessKey タブをクリックして、AccessKey の 最後に使用したサービス / 時間 を確認します。
詳細については、ActionTrail コンソールにログインします。AccessKey ペアの監査 タブで、対象の
AccessKey IDで検索し、ユーザーの AccessKey に関連する最近の API 呼び出しがないことを確認します。
コンソールログインアクティビティの確認:
RAM コンソールで、ユーザーの詳細ページに移動し、認証管理 タブをクリックして、Last Logined Time を確認します。
詳細については、Events タブを確認するか、ActionTrail コンソールにログオンしてください。[イベントクエリ] タブで、
[オペレーター名]にターゲット RAM ユーザーのユーザー名を設定してフィルターし、そのユーザーの最近のコンソール操作レコードがないことを確認します。
サービス依存関係の確認:
Container Service for Kubernetes (ACK) の kubeconfig など、他の認証情報を要求するために RAM ユーザーを使用しているクラウドサービスがないか確認します。
DataWorks や MaxCompute などのビッグデータサービス内のタスクのように、RAM ユーザーとして実行されるタスクがないか確認します。
RAM コンソールで、ユーザーの詳細ページに移動します。Policy Access Beta タブで、ユーザーがアクセスを許可されているサービスと Last Accessed At を確認します。詳細については、「権限監査の概要」をご参照ください。
ユーザー情報のバックアップ (任意):ユーザーを復元しても、権限設定は復元されません。削除する前に、API またはスクリプトを使用して、ユーザーのポリシーと所属ユーザーグループをエクスポートすることを推奨します。
ベストプラクティス:削除前の無効化
ユーザーがまだ使用されているかどうかが不明な場合は、まずユーザーのアクセス認証情報を無効化し、一定期間様子を見ます。ワークロードが安定している場合は、削除に進みます。これは、オフボーディングやアプリケーションの廃止において最も安全なアプローチです。
ユーザーの一時的な無効化:
コンソールログインの無効化:ユーザーの詳細ページで、認証管理 タブをクリックします。Login Profile セクションで、ログイン設定の変更 をクリックし、コンソールへのアクセス を 無効 に設定します。
AccessKey の無効化:ユーザーの詳細ページで、AccessKey タブをクリックし、すべての AccessKey のステータスを [無効] に設定します。この時点で、ユーザーはログインも API 呼び出しもできなくなりますが、アイデンティティと権限設定は保持されるため、いつでも簡単に再アクティブ化できます。
ワークロードの監視:ユーザーを一定期間無効化したままにします。ワークロードに支障が出ないことを確認するため、少なくとも 7 日から 15 日間を推奨します。
ユーザーの削除:観察期間後、ユーザーを安全に削除できることを確認したら、削除手順に進みます。
RAM ユーザーのごみ箱メカニズム
RAM ユーザーを削除すると、ユーザーのステータスは次のように変更されます:
誤って RAM ユーザーを削除することによるサービスの中断を防ぐため、RAM はセーフティバッファとしてごみ箱を提供します。RAM ユーザーのごみ箱には、次の機能があります:
ユーザーを削除するとごみ箱に移動:コンソールで RAM ユーザーを削除しても、ユーザーは完全には削除されず、代わりにごみ箱に移動されます。
無効状態:ユーザーがごみ箱にある間、コンソールログインや API 呼び出しなどの機能は無効化されます。また、システムは関連する権限や、MFA デバイスなどの関連付けも削除します。
保持と削除:デフォルトでは、ユーザーはごみ箱に 30 日間保持されます。30 日後、システムはユーザーを完全削除します。この期間中、いつでもユーザーを復元したり、手動で完全削除したりできます。
復元の制限:ごみ箱からユーザーを復元すると、ユーザーのアイデンティティのみが復元されます。ユーザーの元の権限と MFA デバイスは手動で再設定する必要があります。また、AccessKey も手動で復元または再作成する必要があります。
クォータ制限:ごみ箱には最大 1,000 人のユーザーを保持できます。この制限を超えると、システムは最も古いユーザーを自動的に完全削除し、新しく削除されたユーザー用のスペースを確保します。
操作手順
1. RAM ユーザーをごみ箱に移動する
この操作により、ユーザーは無効化され、ごみ箱に移動します。これにより、自動完全削除までの 30 日間のカウントダウンが開始されます。ユーザーがごみ箱に移動されると、コンソールログイン、API 呼び出し (AccessKey)、すべての権限、MFA デバイスは無効化または削除されます。
コンソール
Alibaba Cloud アカウント、または RAM の管理者権限 (
AliyunRAMFullAccess) を持つ RAM ユーザーを使用して、RAM コンソールにログインします。左側のナビゲーションペインで、 を選択します。
[ユーザー] ページで、対象の RAM ユーザーを見つけ、操作 列の ユーザーの削除 をクリックします。
複数の RAM ユーザーを選択し、ユーザーリストの下にある ユーザーの削除 をクリックして、複数の RAM ユーザーをバッチでごみ箱に移動することもできます。誤って削除するリスクが高まるため、この方法は推奨されません。
ユーザーの削除 ダイアログボックスで、削除による影響をよく読み、対象の RAM ユーザー名を入力して、[ごみ箱に移動] をクリックします。
OpenAPI
DeleteUser API を呼び出して、RAM ユーザーをごみ箱に移動します。
2. ごみ箱内のユーザーの管理
ごみ箱内のユーザーを表示、復元、または完全削除できます。
ユーザーと AccessKey の表示
ユーザー ページで、右上隅にある[ごみ箱] をクリックします。
[ごみ箱] ページでは、次の操作を実行できます:
ユーザー タブで、ごみ箱内の RAM ユーザーのリストを表示できます。
AccessKey タブで、ごみ箱内の AccessKey のリストを表示できます。
ユーザーの復元
この操作は、誤って削除されたユーザーを復元するために使用します。
ごみ箱から RAM ユーザーを復元すると、RAM ユーザーの基本情報のみが復元されます。これには、ログイン名、表示名、UID、作成時刻、および (まだ有効な場合の) コンソールログインパスワードが含まれます。その他の情報は復元できず、復元後に手動で再設定する必要があります。
ユーザー ページで、右上隅にある[ごみ箱] をクリックします。
ユーザー タブで、対象の RAM ユーザーを見つけ、操作 列の 復元 をクリックします。
複数の RAM ユーザーを選択し、ユーザーリストの下にある ごみ箱ユーザーの復元 をクリックして、バッチで復元することもできます。
ごみ箱ユーザーの復元 ダイアログボックスで、ごみ箱ユーザーの復元 をクリックします。
復元後のチェックリスト:
ユーザーに必要な権限を再付与します。
ユーザーを必要なユーザーグループに再度追加します。
API アクセスが必要な場合は、ユーザー用に新しい AccessKey を作成するか、[ごみ箱] の AccessKey タブで [復元] をクリックして、ユーザーの以前の AccessKey を復元します。
ユーザーに MFA デバイスを再関連付けするように通知します。
必要に応じて、ユーザーのメモ、携帯電話番号、メールアドレス、タグを再追加します。
ユーザーの完全削除
この操作は元に戻すことができず、ユーザーとそのすべての情報が完全削除されます。
RAM ユーザーが完全削除されると、AccessKey を含むいかなる情報も復旧できません。この操作は、ユーザーが完全に不要であると確信した場合にのみ実行してください。
RAM ユーザーはごみ箱に 30 日間保持されます。保持期間が終了すると、システムはこれらの RAM ユーザーを自動的に完全削除します。また、ごみ箱から特定の RAM ユーザーを手動で完全削除することもできます:
ユーザー ページで、右上隅の[ごみ箱] をクリックします。
ユーザー タブで、対象の RAM ユーザーを見つけ、操作 列の 削除 をクリックします。
ごみ箱ユーザーの削除 ダイアログボックスで、対象の RAM ユーザーの名前を入力し、ごみ箱ユーザーの削除 をクリックします。