Alibaba Cloud リソースにアクセスする前に、利用できるユーザーアイデンティティと権限の仕組みを理解しておく必要があります。
アイデンティティ
Alibaba Cloud は、エンティティユーザーアイデンティティと仮想ユーザーアイデンティティという、2 種類のユーザーアイデンティティをサポートしています。
エンティティユーザーアイデンティティ
エンティティユーザーアイデンティティは、現実世界の個人、企業、またはアプリケーションに紐づく固定 ID と認証情報 (ログオンパスワードまたは AccessKey ペア) を持ちます。エンティティユーザーアイデンティティには、Alibaba Cloud アカウントと Resource Access Management (RAM) ユーザーが含まれます。以下の方法でクラウドリソースにアクセスできます。
-
ユーザー名、パスワード、および多要素認証 (MFA) を使用してコンソールにログインします。
-
AccessKey ペアを使用して API を呼び出します。
Alibaba Cloud アカウントと RAM ユーザーは、スコープと権限が異なります。
仮想ユーザーアイデンティティ
仮想ユーザーアイデンティティには、固定の認証情報がありません。Alibaba Cloud において、RAM ロールは信頼できるエンティティが引き受ける仮想アイデンティティです。エンティティは、一時的な Security Token Service (STS) トークンを受け取り、それを使用して RAM ロールとして、認可されたリソースにアクセスします。
RAM ロールは、以下の種類の信頼できるエンティティをサポートしています。
|
信頼できるエンティティ |
シナリオ |
参考資料 |
|
Alibaba Cloud アカウント |
クロスアカウントアクセスと一時的な権限付与。信頼できる Alibaba Cloud アカウント (現在のアカウントまたは別のアカウント) 配下の RAM ユーザーのみがロールを引き受けることができます。 |
|
|
Alibaba Cloud サービス |
サービス間のリソースアクセス。信頼できる Alibaba Cloud サービスのみがロールを引き受けることができます。 |
|
|
ID プロバイダー |
シングルサインオン (SSO) 連携。信頼できる ID プロバイダーのユーザーのみがロールを引き受けることができます。 |
権限
権限とは、特定の条件下で、特定のリソースに対する操作を許可するか拒否するかを指定するものです。
エンティティユーザーアイデンティティの権限
|
エンティティユーザーアイデンティティ |
デフォルトの権限 |
権限付与の要否 |
権限付与の詳細 |
|
Alibaba Cloud アカウント |
自身のリソースに対するすべての権限を持ちます。 |
不要 |
|
|
RAM ユーザー |
権限なし |
必要。新規の RAM ユーザーは、明示的に権限が付与されるまで、いかなる権限も持ちません。 |
権限は、RAM のアイデンティティにアクセスポリシーをアタッチすることによって付与されます。アクセスポリシーは、特定の構文を使用して、認可されたリソースセット、アクションセット、および条件を定義します。 RAM は、以下の 2 種類のアクセスポリシーをサポートしています。
RAM ユーザーまたは RAM ユーザーグループにアクセスポリシーをアタッチして権限を付与します。RAM ユーザーの権限を管理するには、「RAM ユーザーの権限管理」をご参照ください。RAM ユーザーグループに権限を付与するには、「RAM ユーザーグループへの権限付与」をご参照ください。 |
仮想ユーザーアイデンティティの権限
RAM ロールは、デフォルトでは権限を持ちません。
新規 RAM ロールに信頼できるエンティティを指定した後、アクセスポリシーをアタッチして権限を付与することで、ロールはコンソールおよび API を介してリソースにアクセスできるようになります。
RAM ロールにアクセスポリシーをアタッチして権限を付与します。RAM ロールの権限を管理するには、「RAM ロールの権限管理」をご参照ください。
関連ドキュメント
-
RAM をサポートする Alibaba Cloud サービスとそのシステムポリシーについては、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
-
アクセスポリシーの要素、構文、および構造については、「RAM ポリシーの基本要素」および「ポリシーの構造と構文」をご参照ください。