Resource Access Management (RAM) は、ユーザー ID の管理アクセス制御のための Alibaba Cloud サービスです。 RAM を 使用すると、ユーザーアカウント (従業員、システム、アプリケーションなど) を作成および管理し、Alibaba Cloud アカウントのリソースに対してそのユーザーアカウントが所有する操作権限を制御できます。 企業の複数のユーザーが共同でリソースを操作する必要がある場合、 RAM により、Alibaba Cloud アカウントのアクセスキーを他のユーザーと共有する必要がなくなります。 ユーザーには作業に必要な最小限の権限を付与できるため、企業のセキュリティリスクが軽減されます。

ID 管理とアクセス制御

RAM を使用すると、Alibaba Cloud アカウントで複数のユーザー ID を作成および管理できます。また、異なる権限付与ポリシーを異なる ID や ID グループに割り当てて、 異なるリソースアクセス権限を異なるユーザーに付与することができます。

ID 管理

RAM ユーザー ID は、コンソールまたは Open API を使用して Alibaba Cloud リソースに対する操作を実行するユーザー、システム、またはアプリケーションを示します。 さまざまな適用シナリオにおける ID 管理に対応するために、RAM  には RAM-User と RAM-Role の 2 つのユーザー ID タイプが用意されています。

  • RAM-User は、固定の ID と ID 認証アクセスキーを持つ実際の ID であり、  一般的には、特定のユーザーまたはアプリケーションに対応します。

  • RAM-Role は仮想 ID であり、固定の ID は持っていますが、ID 認証情報アクセスキーを持ちません。

RAM-Role を使用するには、実際の ID に関連付ける必要があります。 RAM-Role は複数の実際の ID と関連付けることができます。例:現在の Alibaba Cloud アカウントの RAM-User、 別の Alibaba Cloud アカウントの RAM-User、Alibaba Cloud サービス (例: EMR、MTS)、外部の実際の ID (例: ローカルエンタープライズアカウント) の RAM-Userなど。

権限付与

RAM を使用すると、Alibaba Cloud アカウントで複数の権限付与ポリシーを作成および管理できます。 基本的には、各権限付与ポリシーは権限のコレクションであり、  管理者が、1 つ以上の権限付与ポリシーを RAM ユーザー (RAM-User、RAM-Role など)  に割り当てることができます。

RAM の権限付与ポリシー言語によって、権限付与ポリシーの内容を詳細に記述します。 ポリシーによって権限を API 操作とリソース ID に付与し、複数の制限  (例: ソース IP、アクセス時間、MFA) を指定できます。

Alibaba Cloud アカウントと RAM ユーザー

  • 所有権の観点に基づくと、Alibaba Cloud アカウントとそのアカウントの RAM ユーザーは親子関係にあります。
    • Alibaba Cloud アカウントは、Alibaba Cloud リソースの所有権とリソース消費の請求を確認するための基本エンティティです。
    • RAM ユーザーは、特定の Alibaba Cloud アカウントの RAM インスタンスにのみ存在します。 RAM ユーザーはリソースを所有しません。付与された権限でユーザーが作成したリソースは親アカウントに属します。 また、RAM ユーザーに課金されることもありません。許可された操作によって発生した費用はすべて、親アカウントに請求されます。
  • 権限の面では、Alibaba Cloud アカウントとそのアカウントの RAM ユーザーの間には、(Linux のように) root とユーザーの関係があります。
    • root はリソースに対するすべての操作と制御の権限を持ちます。
    • RAM ユーザーは root によって付与された権限しか持ちません。 さらに、root はユーザーに付与した権限をいつでも取り消すことができます。

RAM を使用してエンタープライズレベルのクラウドリソース管理

RAM は、次のエンタープライズシナリオに適用されます:

  • エンタープライズは、各オペレータ(またはアプリケーション)のアカウントと権限を簡単に管理する必要があります。
  • 企業は、各オペレーター(またはアプリケーション)の費用と料金を別々に計算したくありません。

具体的な要件は次のとおりです:

図 1. エンタープライズシナリオ
  • A 社には Alibaba Cloud アカウントが 1 つだけ必要です(図では companyA@aliyun.com)。
  • すべてのリソースはこの Alibaba Cloud アカウントに属します。 リソース所有者として、このアカウントはすべてのリソースを完全に制御し、 すべての請求の支払いを担当します。
  • A は RAM を使用して、アカウント(リソースの O&M 制御操作を実行する従業員)のオペレータ用の独立したユーザーアカウントを作成し、承認管理を実行できます。
  • ユーザーアカウントにはリソースがありません。 デフォルトでは、作成するリソースに対するアクセス許可はなく、アクセス許可の承認後にのみリソースに対する操作を実行できます。
  • ユーザーアカウントの操作によって発生した料金は、プライマリアカウントに請求されます。 ユーザーアカウントの個別請求はサポートされていません。

ラーニングパス

RAMの専門家になるために必要な知識は、RAM ラーニングパス を参考してください。