ご利用の RAM ユーザーが不要になった場合、セキュリティを強化し管理を簡素化するために、ユーザーを無効化または削除できます。このトピックでは、RAM ユーザーの完全なライフサイクル管理について説明します。具体的には、削除前のセキュリティチェックの実施、ゴミ箱への移動、ゴミ箱からの復元、およびゴミ箱からの完全削除の手順を含みます。
RAM ユーザー削除前のセキュリティ評価
RAM ユーザーを削除する前に、そのユーザーをシステムやアプリケーションが使用していないことを確認してください。サービス中断を防ぐため、「まず無効化し、その後削除する」という安全なアプローチを推奨します。
削除前の最終チェックリスト
RAM ユーザーを削除する前に、以下のチェックを完了してください。
AccessKey ペアのアクティビティを確認:
RAM コンソール のユーザー詳細ページの AccessKey タブで、最終使用サービス / 時間 を確認します。
さらに詳細な情報を必要とする場合は、ActionTrail コンソール にログインします。AccessKey 監査 タブに移動し、対象の
AccessKey IDでクエリを実行し、当該ユーザーの AccessKey が最近 API 呼び出しを行っていないことを確認します。
コンソールログインアクティビティを確認:
RAM コンソールのユーザー詳細ページの 認証管理 タブで、最終ログイン時間 を確認します。
操作記録 タブで詳細情報を確認することもできます。または、ActionTrail コンソール にログインし、イベントクエリ タブで、
操作者名フィールドに当該 RAM ユーザーのユーザー名を指定してフィルターをかけ、ユーザーが最近コンソール操作を行っていないことを確認します。
サービス依存関係を確認:
ACK の kubeconfig ファイルなど、他の資格情報の取得にこの RAM ユーザーを使用しているクラウドサービスはありますか?
DataWorks や MaxCompute など、タスクの実行にこの RAM ユーザーを使用しているサービスはありますか?
RAM コンソールのユーザー詳細ページにある 権限監査ベータ タブおよび 最終アクセス時間 を確認することで、ユーザーに付与されているサービスを把握できます。詳細については、「権限監査概要」をご参照ください。
ユーザー情報のバックアップ(任意):RAM ユーザーを復元しても、その権限およびグループメンバーシップは復元されません。削除前に、API またはスクリプトを使用してアクセスポリシーおよびグループメンバーシップをエクスポートしてください。
ベストプラクティス:削除前に無効化
RAM ユーザーがまだアクティブかどうか不確かな場合は、まずその資格情報を一時的に無効化してください。その後、一定期間システムを監視し、問題が発生しないことを確認してからユーザーを削除します。これは、退職者や廃止予定のアプリケーションの処理において最も安全な方法です。
ユーザーを一時的に無効化:
コンソールログインを無効化:ユーザー詳細ページの 認証管理 タブに移動し、ログイン情報 セクションで ログイン設定の変更 をクリックします。次に、コンソールへのアクセス を 無効 に設定します。
AccessKey を無効化:ユーザー詳細ページの AccessKey タブで、すべての AccessKey のステータスを 無効 に設定します。これにより、ユーザーはログインや API 呼び出しができなくなりますが、ID および権限構成は保持されるため、いつでも再有効化が可能です。
ビジネス状況を監視:ユーザーを少なくとも 7 ~ 15 日間無効化したままにし、サービス中断が発生しないことを確認します。
削除を実行:観察期間後、ユーザーを安全に削除できることが確認されたら、削除手順を実行します。
RAM ユーザーのゴミ箱メカニズム
RAM ユーザーを削除すると、そのステータスは以下のように変化します。
誤った削除によるサービス中断を防ぐため、RAM には安全バッファーとして ゴミ箱 が提供されています。RAM ユーザーを削除すると、完全に削除されるのではなくゴミ箱に移動します。
削除はゴミ箱への移動:コンソールでの 削除 操作は、ユーザーをゴミ箱に移動させるものであり、完全削除ではありません。
無効状態:ゴミ箱に移動すると、コンソールログインや API 呼び出しなどすべての機能が無効になります。権限、グループメンバーシップ、多要素認証 (MFA) デバイスのバインディングも削除されます。
保持とクリーンアップ:ユーザーはゴミ箱に 30日間 保持されます。30日経過後、システムによって完全に削除されます。この期間中、ユーザーを復元するか、手動で完全削除することができます。
復元時の制限:ゴミ箱からユーザーを復元すると、ユーザーの ID のみが復元されます。元の権限や MFA デバイスは手動で再構成する必要があります。AccessKey は手動で復元または再作成する必要があります。
クォータ制限:ゴミ箱には最大 1,000 ユーザー まで保持できます。容量がいっぱいになると、システムは新しいユーザーのためのスペースを確保するために、最も古いユーザーを自動的に削除します。
操作手順
1. RAM ユーザーをゴミ箱に移動
この操作により、ユーザーが無効化されゴミ箱に移動し、30日間の自動クリーンアップカウントダウンが開始されます。ゴミ箱に移動後、ユーザーのコンソールログイン、API 呼び出し (AccessKey)、すべての権限、MFA デバイス、および は無効化または削除されます。
コンソール
Alibaba Cloud アカウントまたは RAM 管理権限 (
AliyunRAMFullAccess) を持つ RAM ユーザーで、RAM コンソール にログインします。左側のナビゲーションウィンドウで、 を選択します。
ユーザー ページで、対象の RAM ユーザーの 操作 をクリックし、ユーザーの削除 をクリックします。
複数の RAM ユーザーを選択し、ユーザー一覧の下にある ユーザーの削除 をクリックして、複数の RAM ユーザーを一度にゴミ箱に移動することもできます(誤削除のリスクがあるため推奨しません)。
ユーザーの削除 ダイアログボックスで、削除の影響をよく読み、対象の RAM ユーザー名を入力し、ゴミ箱に移動 をクリックします。
OpenAPI
DeleteUser を呼び出して、RAM ユーザーをゴミ箱に移動できます。
ゴミ箱内のユーザー管理
ゴミ箱内の RAM ユーザーを表示、復元、または完全削除できます。
ゴミ箱内の RAM ユーザーおよび AccessKey ペアの表示
ユーザー ページの右上隅にある ゴミ箱 をクリックします。
ゴミ箱 ページでは、以下の操作が可能です。
ユーザー タブで、ゴミ箱内の RAM ユーザーの一覧を表示します。
AccessKey タブで、ゴミ箱内の AccessKey の一覧を表示します。
ゴミ箱から RAM ユーザーを復元
この操作により、誤って削除されたユーザーを復元できます。
RAM ユーザーを復元すると、ログイン名、表示名、UID、作成時刻などの基本的な ID 情報と、有効期限内のコンソールログインパスワードのみが復元されます。それ以外の情報は復元できません。復元後は、手動で再構成する必要があります。
ユーザー ページの右上隅にある ゴミ箱 をクリックします。
ユーザー タブで、対象の RAM ユーザーの 復元 列にある 操作 をクリックします。
複数の RAM ユーザーを選択し、ユーザー一覧の下にある ゴミ箱から復元 をクリックして、一括で RAM ユーザーを復元することもできます。
ゴミ箱ユーザーの復元 ダイアログボックスで、ゴミ箱ユーザーの復元 をクリックします。
復元後のチェックリスト:
必要な権限を再度ユーザーに付与します。
ユーザーを必要なグループに再度追加します。
API アクセスが必要な場合は、ユーザー用に新しい AccessKey を再作成するか、ゴミ箱 の AccessKey タブから従来の AccessKey を復元します。
ユーザーに MFA デバイスを再登録させます。
必要に応じて、備考、携帯電話番号、メールアドレス、タグを再度追加します。
ゴミ箱から RAM ユーザーを完全削除
この操作により、ユーザーおよびそのすべてのデータが完全に削除され、取り消すことはできません。
完全削除後、AccessKey ペアを含むすべてのユーザーデータは復元できません。ユーザーが今後不要であることを確信した場合にのみ、この操作を実行してください。
ゴミ箱内の RAM ユーザーは 30日間 保持されます。30日経過後、システムによって自動的に完全削除されます。保持期間終了前にも、特定のユーザーを手動で削除できます。
ユーザー ページの右上隅にある ゴミ箱 をクリックします。
ユーザー タブで、対象の RAM ユーザーの 操作 列にある 削除 をクリックします。
ゴミ箱ユーザーの削除 ダイアログボックスで、対象の RAM ユーザー名を入力し、ゴミ箱ユーザーの削除 をクリックします。