すべてのプロダクト
Search
ドキュメントセンター

Security Center:Alibaba Cloud のアイデンティティと権限

最終更新日:Jun 04, 2026

Alibaba Cloud リソースにアクセスする前に、利用できるユーザーアイデンティティと権限の仕組みを理解しておく必要があります。

アイデンティティ

Alibaba Cloud は、エンティティユーザーアイデンティティと仮想ユーザーアイデンティティという、2 種類のユーザーアイデンティティをサポートしています。

エンティティユーザーアイデンティティ

エンティティユーザーアイデンティティは、現実世界の個人、企業、またはアプリケーションに紐づく固定 ID と認証情報 (ログオンパスワードまたは AccessKey ペア) を持ちます。エンティティユーザーアイデンティティには、Alibaba Cloud アカウントと Resource Access Management (RAM) ユーザーが含まれます。以下の方法でクラウドリソースにアクセスできます。

  • ユーザー名、パスワード、および多要素認証 (MFA) を使用してコンソールにログインします。

  • AccessKey ペアを使用して API を呼び出します。

Alibaba Cloud アカウントと RAM ユーザーは、スコープと権限が異なります。

Alibaba Cloud アカウント

特徴

  • クラウドオペレーティングシステムのルート権限または管理者権限を持ちます。

  • 所有するすべてのリソースを完全に制御できる課金主体として機能します。

注意事項

必要な場合を除き、Alibaba Cloud アカウントを使用してクラウドリソースにアクセスすることは避けてください。

ベストプラクティス:管理者権限を持つ RAM ユーザーを作成し、その RAM ユーザーを使用して他の RAM ユーザーを作成および管理します。

RAM ユーザー

特徴

  • RAM ユーザーがリソースにアクセスするためには、事前に Alibaba Cloud アカウントまたは RAM 管理者が権限を付与する必要があります。

  • RAM ユーザーはリソースを所有せず、独立して課金されることはありません。親の Alibaba Cloud アカウントがすべてのリソースを所有し、料金を支払います。RAM ユーザーは、親の Alibaba Cloud アカウント内でのみ表示されます。

注意事項

クラウドリソースへのアクセスを必要とするオペレーターやアプリケーションごとに RAM ユーザーを作成してください。

説明

同じ職責を持つ RAM ユーザーを RAM ユーザーグループにまとめ、管理を容易にするためにグループ単位で権限を付与してください。

仮想ユーザーアイデンティティ

仮想ユーザーアイデンティティには、固定の認証情報がありません。Alibaba Cloud において、RAM ロールは信頼できるエンティティが引き受ける仮想アイデンティティです。エンティティは、一時的な Security Token Service (STS) トークンを受け取り、それを使用して RAM ロールとして、認可されたリソースにアクセスします。

RAM ロールは、以下の種類の信頼できるエンティティをサポートしています。

信頼できるエンティティ

シナリオ

参考資料

Alibaba Cloud アカウント

クロスアカウントアクセスと一時的な権限付与。信頼できる Alibaba Cloud アカウント (現在のアカウントまたは別のアカウント) 配下の RAM ユーザーのみがロールを引き受けることができます。

信頼できる Alibaba Cloud アカウント用の RAM ロールの作成

Alibaba Cloud サービス

サービス間のリソースアクセス。信頼できる Alibaba Cloud サービスのみがロールを引き受けることができます。

信頼できる Alibaba Cloud サービス用の RAM ロールの作成

ID プロバイダー

シングルサインオン (SSO) 連携。信頼できる ID プロバイダーのユーザーのみがロールを引き受けることができます。

信頼できる ID プロバイダー用の RAM ロールの作成

権限

権限とは、特定の条件下で、特定のリソースに対する操作を許可するか拒否するかを指定するものです。

エンティティユーザーアイデンティティの権限

エンティティユーザーアイデンティティ

デフォルトの権限

権限付与の要否

権限付与の詳細

Alibaba Cloud アカウント

自身のリソースに対するすべての権限を持ちます。

不要

  • Alibaba Cloud アカウントは、自身のリソースを完全に制御できます。

  • 他のユーザーがそのクラウドリソースにアクセスするには、Alibaba Cloud アカウントが権限を付与する必要があります。

RAM ユーザー

権限なし

必要。新規の RAM ユーザーは、明示的に権限が付与されるまで、いかなる権限も持ちません。

権限は、RAM のアイデンティティにアクセスポリシーをアタッチすることによって付与されます。アクセスポリシーは、特定の構文を使用して、認可されたリソースセット、アクションセット、および条件を定義します。

RAM は、以下の 2 種類のアクセスポリシーをサポートしています。

  • システムポリシー:Alibaba Cloud によって作成および保守されます。使用はできますが、変更はできません。

  • カスタムポリシー:ユーザーによって作成、更新、保守されます。

RAM ユーザーまたは RAM ユーザーグループにアクセスポリシーをアタッチして権限を付与します。RAM ユーザーの権限を管理するには、「RAM ユーザーの権限管理」をご参照ください。RAM ユーザーグループに権限を付与するには、「RAM ユーザーグループへの権限付与」をご参照ください。

仮想ユーザーアイデンティティの権限

RAM ロールは、デフォルトでは権限を持ちません。

新規 RAM ロールに信頼できるエンティティを指定した後、アクセスポリシーをアタッチして権限を付与することで、ロールはコンソールおよび API を介してリソースにアクセスできるようになります。

RAM ロールにアクセスポリシーをアタッチして権限を付与します。RAM ロールの権限を管理するには、「RAM ロールの権限管理」をご参照ください。

関連ドキュメント