Resource Access Management (RAM) を使用して、メインの Alibaba Cloud アカウントとは別に権限を管理できます。RAM ユーザーに最小権限を付与すると、アカウントの AccessKey ペアの漏洩を防ぎ、セキュリティリスクを軽減できます。このトピックでは、Alibaba Cloud アカウントの RAM ユーザーを作成し、そのユーザーに必要な権限を付与する方法について説明します。
適用シナリオ
ある企業 (企業 A) が、一部の従業員に日常の O&M タスクを処理させたいと考えています。この場合、企業 A は RAM ユーザーを作成し、必要な権限を付与できます。従業員は RAM ユーザーとして SAE コンソールにログインできます。SAE を使用すると、企業 A は RAM ユーザーを使用して権限を管理できます。企業 A は、RAM ユーザーがログインを許可されているコンソールを管理することもできます。以下は一般的なシナリオです。
セキュリティ上の理由から、企業 A は Alibaba Cloud アカウントの AccessKey ペアを従業員に公開したくありません。代わりに、企業 A は従業員ごとに個別の RAM ユーザーを作成し、各ユーザーに異なる権限を付与します。
RAM ユーザーは、権限を付与された後にのみリソースを管理できます。リソースの使用量は個々の RAM ユーザーには請求されません。すべての費用は企業 A の Alibaba Cloud アカウントに請求されます。
企業 A は、いつでも RAM ユーザーの権限を取り消したり、RAM ユーザーを削除したりできます。
ステップ 1: RAM ユーザーを作成する
Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザーを使用して RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページで、[ユーザーアカウント情報] セクションのユーザー情報を設定します。
ログイン名: ログイン名には、文字、数字、ピリオド (.)、ハイフン (-)、アンダースコア (_) を使用できます。長さは最大 64 文字です。
表示名: 表示名は最大 128 文字です。
タグ:
アイコンをクリックし、タグキーとタグ値を入力します。タグは RAM ユーザーの分類と管理に役立ちます。
説明[ユーザーの追加] をクリックすると、複数の RAM ユーザーを同時に作成できます。
[アクセスモード] セクションで、アクセスモードを選択し、対応するパラメーターを設定します。
セキュリティを強化するため、個人用とアプリケーション用に別々のユーザーを作成することをお勧めします。この分離を維持するために、各ユーザーには 1 つのアクセスモードのみを選択してください。
コンソールアクセス
個人のユーザーには、コンソールアクセスを有効にすることをお勧めします。これにより、ユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにサインインできます。次のパラメーターを設定する必要があります。
ログインパスワード: パスワードを自動生成するか、カスタムパスワードを設定するかを選択できます。カスタムパスワードを設定する場合、パスワードの複雑さのルールに準拠する必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。
パスワードリセットが必要: RAM ユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを選択します。
多要素認証 (MFA): RAM ユーザーに対して MFA を有効にするかどうかを選択します。MFA を有効にする場合は、MFA デバイスもバインドする必要があります。詳細については、「RAM ユーザーに MFA デバイスをバインドする」をご参照ください。
永続的な AccessKey でのアクセス
RAM ユーザーがアプリケーションを表す場合、永続的な AccessKey ペアを使用して Alibaba Cloud にプログラムでアクセスできます。このオプションを有効にすると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に作成します。詳細については、「AccessKey ペアを作成する」をご参照ください。
重要AccessKey シークレットは作成時に一度しか表示されず、後で取得することはできません。安全な場所に保存する必要があります。
AccessKey ペアは、プログラムによるアクセスのための長期的な認証情報です。AccessKey ペアが漏洩すると、アカウント内のすべてのリソースのセキュリティが危険にさらされます。認証情報の漏洩リスクを軽減するために、代わりに Security Token Service (STS) トークンを使用することをお勧めします。詳細については、「アクセス認証情報を使用して OpenAPI 操作を呼び出すためのベストプラクティス」をご参照ください。
[OK] をクリックします。
ステップ 2: RAM ユーザーに権限を付与する
RAM ユーザーに権限を付与すると、ユーザーは対応する Alibaba Cloud リソースにアクセスできるようになります。このセクションでは、[ユーザー] ページを使用して権限を付与する方法を説明します。権限を付与する他の方法の詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、目的の RAM ユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。
複数の RAM ユーザーを選択し、ページ下部の [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
[リソース範囲] パラメーターを設定します。
アカウント: 権限付与は現在の Alibaba Cloud アカウントで有効になります。
リソースグループ: 権限付与は特定のリソースグループで有効になります。
重要リソース範囲パラメーターに [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。リソースグループで権限を付与する方法の詳細については、「リソースグループを使用して、特定の ECS インスタンスを管理する権限を RAM ユーザーに付与する」をご参照ください。
[プリンシパル] パラメーターを設定します。
プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。
[ポリシー] パラメーターを設定します。
ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloud によって作成されるポリシー。これらのポリシーは使用できますが、変更はできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess などのリスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことをお勧めします。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーを作成、更新、削除できます。詳細については、「カスタムポリシーを作成する」をご参照ください。
[権限の付与] をクリックします。
[閉じる] をクリックします。
次のステップ
企業 A の従業員は、次のいずれかの方法を使用して RAM ユーザーとして SAE にアクセスできます。
方法 1: コンソールを使用する。
RAM ユーザーログインポータルに移動します。
[RAM ユーザーでログイン] ページで、RAM ユーザーのユーザー名を入力し、[次へ] をクリックしてパスワードを入力し、[ログイン] をクリックします。
説明RAM ユーザーのログイン名は、
<$username>@<$AccountAlias>または<$username>@<$AccountAlias>.onaliyun.comの形式です。<$AccountAlias>はアカウントエイリアスです。アカウントエイリアスを設定しない場合、デフォルトで Alibaba Cloud アカウントの ID が使用されます。詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」をご参照ください。Alibaba Cloud 管理コンソールの上部にある検索ボックスに Serverless App Engine と入力し、サービスをクリックして SAE コンソールに移動します。
方法 2: API を呼び出す。
コード内で RAM ユーザーの AccessKey ID と AccessKey シークレットを使用して API 操作を呼び出し、SAE にアクセスします。