Resource Access Management (RAM) ユーザーは、RAM で作成できるエンティティです。Alibaba Cloud アカウントの下に RAM ユーザーを作成し、権限を付与できます。これにより、異なる RAM ユーザーがリソースに対して異なるアクセス権限を持つことができます。企業内にリソースで共同作業する必要がある複数のユーザーがいる場合は、複数の RAM ユーザーを作成し、最小権限の原則に基づいて権限を割り当てることができます。この方法により、Alibaba Cloud アカウントのパスワードや AccessKey の共有を回避でき、セキュリティリスクを軽減できます。
RAM ユーザーとは
RAM ユーザーは、固定 ID と認証情報を持つ物理的な ID です。RAM ユーザーは、個人またはアプリケーションを表します。RAM ユーザーには次の特徴があります。
RAM ユーザーは Alibaba Cloud アカウントによって作成できます。この場合、RAM ユーザーは Alibaba Cloud アカウントに属します。RAM ユーザーは、管理者権限を持つ RAM ユーザーまたは RAM ロールによっても作成できます。この場合、RAM ユーザーは、その RAM ユーザーまたは RAM ロールを作成した Alibaba Cloud アカウントに属します。
RAM ユーザーはリソースを所有しません。RAM ユーザーのリソース使用料は、その RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。RAM ユーザーは個別の請求書を受け取らず、支払いもできません。
RAM ユーザーが Alibaba Cloud 管理コンソールにログインしたり、操作を呼び出したりする前に、Alibaba Cloud アカウントによって承認される必要があります。RAM ユーザーが承認されると、その RAM ユーザーは Alibaba Cloud アカウントが所有するリソースにアクセスできます。
RAM ユーザーは、ログイン用に独立したパスワードまたは AccessKey ペアを持っています。
1 つの Alibaba Cloud アカウントで複数の RAM ユーザーを作成できます。RAM ユーザーは、企業内の従業員、システム、およびアプリケーションを表すために使用できます。
RAM ユーザーのタイプ
RAM ユーザーは、作成方法に基づいて次のタイプに分類されます。
手動作成: RAM コンソールで作成される RAM ユーザーです。詳細については、「RAM ユーザーの作成」をご参照ください。
CloudSSO 同期: CloudSSO の RAM ユーザープロビジョニング機能を使用して作成される RAM ユーザーです。CloudSSO ユーザーとして CloudSSO ユーザーポータルにログインし、このタイプの RAM ユーザーを使用して Alibaba Cloud 管理コンソールにアクセスする必要があります。このタイプの RAM ユーザーを使用して、RAM ユーザーのユーザー名とパスワードで Alibaba Cloud 管理コンソールにログインすることはできません。このタイプの RAM ユーザーは、RAM ユーザープロビジョニングを削除した後にのみ削除できます。詳細については、「RAM ユーザープロビジョニングの作成」をご参照ください。
手順
Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーを使用して RAM コンソールにログインします。
RAM ユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
ログインパラメーターを設定します。
RAM ユーザーには、ログインパスワードと AccessKey ペアの両方を設定できます。セキュリティ上の理由から、RAM ユーザーにはログインパスワードまたは AccessKey ペアのいずれかを設定することをお勧めします。RAM ユーザーがアプリケーションの場合、RAM ユーザーは操作を呼び出してリソースにアクセスする必要があります。この場合、RAM ユーザー用に AccessKey ペアを作成するだけで済みます。RAM ユーザーが従業員の場合、RAM ユーザーは Alibaba Cloud 管理コンソールにログインしてリソースにアクセスする必要があります。この場合、RAM ユーザー用にログインパスワードを設定するだけで済みます。
Alibaba Cloud 管理コンソールへのログイン
Alibaba Cloud 管理コンソールへのログインを有効にし、コンソールログインパスワードを設定し、RAM ユーザーのパスワードポリシーを設定する必要があります。必要に応じて、コンソールログインパスワードを変更したり、多要素認証 (MFA) を有効にしたりすることもできます。詳細については、「RAM ユーザーのコンソールログイン設定の管理」、「RAM ユーザーのパスワードポリシーの設定」、「RAM ユーザーのコンソールパスワードのリセット」、および「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。
説明ユーザーベースのシングルサインオン (SSO) が有効になっている場合、RAM ユーザーの Alibaba Cloud 管理コンソールへのログインを有効にする必要はありません。RAM ユーザーは、ユーザーベースの SSO を使用して Alibaba Cloud 管理コンソールにログインできます。詳細については、「ユーザーベース SSO の概要」をご参照ください。
API 呼び出し
RAM ユーザー用に AccessKey ペアを作成する必要があります。詳細については、「AccessKey ペアの作成」をご参照ください。
RAM ユーザーに権限を付与します。
異なる RAM ユーザーに異なるリソースへのアクセス権限を付与できます。詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインするか、AccessKey ペアを使用して操作を呼び出します。
詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」および「API 概要」をご参照ください。
ベストプラクティス
複数の Alibaba Cloud リソースを持つ企業は、RAM を使用して ID、ユーザー権限、およびリソースを管理できます。詳細については、「RAM を使用したユーザー権限とリソースの管理」をご参照ください。
制限
RAM ユーザーの使用に関する制限の詳細については、「制限」をご参照ください。