このドキュメントでは、サービスの理解を深めるため、RAM の関連概念について説明します。

ID管理の概念

Alibaba Cloud アカウント

Alibaba Cloud アカウント (プライマリアカウント) は、Alibaba Cloud リソースの所有権とリソース消費の請求を確認するための基本エンティティです。 Alibaba Cloud サービスを使用するには、先に Alibaba Cloud アカウントに登録しておく必要があります。 Alibaba Cloud アカウントには、そのアカウントのリソースすべての料金が請求され、そのリソースに対する完全な権限が付与されています。

デフォルトでは、リソースにアクセスできるのはリソースオーナーだけです。 他のユーザーがリソースにアクセスするには、オーナーから明示的に権限が付与されていなければなりません。 したがって、権限管理の観点から見た場合、Alibaba Cloud アカウントは、オペレーティングシステムの root または管理者アカウントと似ており、root アカウント、 プライマリアカウント とも呼ばれます。

Alibaba Cloud アカウントのエイリアス

RAM では、各 Alibaba Cloud アカウントにグローバルに一意なエイリアスを設定できます。 エイリアスは主に RAM ユーザーのログオンに使用され、正常にログオンすると表示されます。

たとえば、Alibaba Cloud アカウント admin@abc.com に対してエイリアス abc.com が設定されている場合、RAM ユーザー Alice が Alibaba Cloud コンソールに正常にログオンすると、表示名は alice@abc.com になります。 alice@abc.com.

ID 資格情報

ID 資格情報は、ユーザーの実際の ID を認証するときに使用され、 通常は、ユーザーのログオンパスワードまたはアクセスキーを指します。 機密情報であるため、だれにも知られないようにする必要があります。

  • ログオン名/パスワードログオン名とパスワードを使用すると、Alibaba Cloud コンソールへのアクセス、注文内容または請求書の確認、リソースの購入、リソース操作の実行を行うことができます。
  • アクセスキーアクセスキーを使用すると、リソース操作を実行するための API リクエストを作成 (またはクラウドサービス SDK を使用) できます。
  • 多要素認証多要素認証 (MFA) は、 ユーザー名とパスワードのほかに追加のセキュリティ保護を提供できる、シンプルながらも効果的なベストプラクティスです。 MFA を有効にすると、 ユーザーは Alibaba Cloud Web サイトにログオンするとき、ユーザー名とパスワード (1 番目のセキュリティ要素) を入力した後に、MFA デバイスによって提供される毎回変わる認証コード (2 番目のセキュリティ要素) を入力する必要があります。 このすべての要素が連携することで、アカウントのセキュリティ保護がさらに強化されます。

RAM ユーザー

RAM では、(企業の従業員、システム、アプリケーションに対応する) 複数の RAM ユーザーを Alibaba Cloud アカウントで作成できます。 RAM ユーザーはリソースを所有せず、個別に課金されることはありません。 ユーザーの管理と支払いは Alibaba Cloud アカウントごとに行われます。 RAM ユーザーは Alibaba Cloud アカウントに属しており、このアカウントでのみ表示できます。 また、独立した Alibaba Cloud アカウントではありません。 Alibaba Cloud  アカウントから権限付与された後にのみ、Alibaba Cloud アカウントの下で、コンソールにログオンすることや、API を使用してリソースで操作を実行することができます。

RAMは、RAM-UserとRAM-Roleの2種類のIDをサポートします。

  • RAM-Userは、IDが固定されたIDであり、 一般に特定の人物やアプリケーションに対応します。
  • RAMロールは、固定アイデンティティクレデンシャルを持たない仮想アイデンティティです。 RAMロールは、実際のIDに関連付けて使用可能にする必要があります。

RAM ロール

伝統的なロール(テキストブックのロール)は一連のアクセス許可の集まりで、RAMのポリシーと 似たものです。 ユーザーにロールが割り当てられている場合、ユーザーには一連のアクセス許可が与えられ、ユーザーは認可されたリソースにアクセスすることが可能です。

RAMのロールはテキストブックのロールとは異なります。 RAMロールは仮想ユーザー(またはシャドウアカウント)で、 RAMユーザーの一種です。 このタイプの仮想ユーザーは固定IDを持ち、アクセス許可のセットを割り当てることもできます(ポリシー)が、ユーザーには固定ID認証キー(ログオンパスワードまたはアクセスキー)が無い状態です。 RAMロールと通常のRAMユーザーの違いは、使用方法にあります。 RAMロールは権限付与されたエンティティユーザーによってプレイする必要があります。 プレイが成功したら、エンティティユーザーはRAMロールの一時的なセキュリティトークンを取得できます。 一時的なセキュリティトークンを使用して、ロールアイデンティティとして認可されたリソースにアクセスすることが可能です。

RAMロールとテキストブックロールの違いは次のとおりです。

  • (類似点) RAMロールとテキストブックロールは両方とも権限セットにバインドできます。
  • (相違点) RAM-Role は仮想 ID またはシャドウアカウントであり、  独立した ID を持ちます。 RAMロールには権限をバインドし、このロールのユーザーのリスト (ロールプレイヤー) を指定する必要があります。 RAMロールは、主に、 IDフェデレーションの問題を解決するときに使用されます。 テキストブックロールは、一般的には権限セットのみを示します。 これは ID ではなく、主に権限付与の管理を簡素化する目的で使用されます。

    RAMロールのロール 想定と切り替え

  • ログオン ID からロール ID への切り替え (SwitchRole):このロールに既に関連付けられている実際のユーザー (RAM-User など) は、コンソールにログオンした後に、 ロールへの切り替えが可能です。 ロールへの切り替えは、一度に 1 ロールずつ行う必要があります。 ログオン ID からロール IDに切り替えると、 使用できるのはそのロール ID にバインドされている権限だけになり、 ログオン ID にバインドされている権限は使用できなくなります。 ログオン ID の権限を使用する必要がある場合は、ロール ID からログオン ID に戻す必要があります。
  • ロールを引き受けるプログラムの呼び出し (AssumeRole):RAMロールに関連付けられている実際のユーザー (RAMユーザーなど) は、 アクセスキーを使って STS サービスの AssumeRole インターフェイスを呼び出して、この RAMロールの一時的な アクセスキーを入手できます。 一時的なアクセスキーには有効期間と制限付きアクセス権限があります (ロールにバインドされている権限セットを超えることはありません)。 一般的に、一時的なアクセスキーは、一時的な権限付与の問題を解決するときに使用されます。
RAM関連の概念

リソース

リソースは、クラウドサービスからユーザーに提供されるオブジェクトを抽象化したもので、ユーザーとのやり取りに使用されます。OSS バケットやオブジェクト、ECS インスタンスなどがあります。

各リソースには、グローバル Alibaba Cloud Resource Name (ARN) が定義されています。 形式は次のとおりです。

acs:<service-name>:<region>:<account-id>:<resource-relative-id>

形式の説明:

  • acs: Alibaba Cloud Service の略語です。Alibaba Cloud パブリッククラウドプラットフォームを示します。
  • service-name: Alibaba Cloud が提供するオープンサービスの名前です (ecs、oss、odps など)。
  • region: リージョン情報です。 このオプションに対応していない場合は、代わりにワイルドカード “*” を使用します。
  • account-id: アカウント ID です 例: 1234567890123456
  • resource-relative-id: サービス関連のリソースです。 その意味は特定のサービスによって指定されます。 たとえば OSS の場合、 acs:oss::1234567890123456:sample_bucket/file1.txt は、 パブリッククラウドプラットフォームの OSS リソースであることを示します。ここで、sample_bucket/file1.txtは OSS オブジェクト名で、1234567890123456  はオブジェクトオーナーです。

権限

権限を使用すると、特定のクラウドリソースに対する特定のユーザー操作を許可または禁止できます。

操作は、主に、リソース制御操作リソース使用操作の 2 つのカテゴリに分類できます。

  • リソース制御操作とは、ECS インスタンスの作成、停止、再起動、OSS バケットの作成、変更、削除など、クラウドリソースのライフサイクル管理や O&M 管理の操作を指します。 リソース制御操作は、一般的に、組織のリソース購入者や O&M 担当者を対象としています。
  • リソース使用操作とは、ECS インスタンスオペレーティングシステムでのユーザー操作、OSS バケットデータのアップロード/ダウンロードなど、 リソースのコア機能の使用を指します。 リソース使用操作は、組織の R&D 担当者やアプリケーションシステムを対象としています。
    エラスティックコンピューティングプロダクトやデータベースプロダクトの場合、リソース制御操作は RAM を使用して管理できますが、 リソース使用操作は各プロダクトインスタンスで管理できます。 (例:ECS インスタンスの OS 権限制御、MySQL データベースの権限制御など)。 OSS、Table Store などのストレージタイプのプロダクトについては、 リソース制御操作とリソース使用操作の両方を RAM で管理できます。

ポリシー

ポリシーとは、権限セットを記述するシンプルな言語仕様のタイプです。 RAM がサポートする言語仕様については、ポリシー構文の構造 を参照してくださいポリシーの構文構造。 RAM は、システムアクセスポリシーカスタマイズアクセスポリシーの 2 種類の権限付与ポリシーに対応しています。

  • Alibaba Cloud によって管理されているシステムアクセスポリシーは、使用できますが、変更することはできません。 システムアクセスポリシーのバージョンは自動的に更新されます。
  • お客様が管理するカスタマイズアクセスポリシーについては、作成したり削除したりできます。 また、ポリシーのバージョンは、お客様自身で管理する必要があります。