すべてのプロダクト
Search

このプロダクト

    Resource Access Management:AccessKey の作成

    ドキュメントセンター

    Resource Access Management:AccessKey の作成

    最終更新日:May 23, 2026

    Resource Access Management (RAM) ユーザーまたは Alibaba Cloud アカウントのプログラムによる API コールを認証するために、AccessKey ペアを作成します。

    AccessKey とは

    AccessKey ペアは、Alibaba Cloud がプログラムによるアクセス用に発行する長期的なセキュリティ認証情報です。AccessKey ペアは、AccessKey ID と AccessKey シークレットで構成されます。

    • AccessKey ID:AccessKey ペアの公開された一意の識別子です。

    • AccessKey シークレット:プログラムによるリクエストに署名するために使用される秘密キーです。この署名により、リクエストの信頼性と整合性が検証されます。AccessKey シークレットは厳重に機密として保持する必要があります。

    重要

    侵害のリスクを軽減するため、AccessKey シークレットは作成時にのみ表示されます。後で取得することはできません。必ず安全に保管してください。

    AccessKey の使用方法

    AccessKey ペアは、CLI、SDK、または Terraform を介して Alibaba Cloud API へのプログラムによるコールを認証します。コンソールへのサインインには使用できません。

    アプリケーションで AccessKey ペアを直接使用することは避けてください。Alibaba Cloud は、代わりに一時的なセキュリティ認証情報 (STS トークン) を使用する AccessKey フリーのソリューションを提供しています。詳細については、「アプリケーション開発シナリオ」をご参照ください。

    AccessKey ペアを使用する必要がある場合は、「やむを得ず使用する AccessKey ペアの適切な保管と使用」のガイダンスに従ってください。

    AccessKey の仕組み

    RAM は、暗号化アルゴリズムを使用して AccessKey ID と AccessKey シークレットを生成します。Alibaba Cloud は、保管および伝送中にこれらを暗号化します。

    アプリケーションがリクエストを送信する際、AccessKey ID と AccessKey シークレットから派生した署名が含まれます。Alibaba Cloud はこれらを使用して、送信者の ID とリクエストの整合性を検証します。詳細については、「V3 リクエストボディと署名メカニズム」をご参照ください。

    AccessKey の種類

    AccessKey ペアは所有者によって分類されます:

    • Alibaba Cloud アカウントの AccessKey ペア (非推奨)

      Alibaba Cloud アカウントの所有者がこの種類を作成します。デフォルトでは、アカウント内のすべての操作とリソースに対する完全な権限を持っています。侵害された場合、セキュリティリスクは極めて高くなります。Alibaba Cloud アカウントの AccessKey ペアを作成したり、使用したりしないでください。

    • RAM ユーザーの AccessKey ペア (推奨)

      この種類は RAM ユーザーに属し、そのユーザーの権限を継承するため、最小権限のアクセスが可能になります。RAM ユーザーの AccessKey ペアを作成する前に、RAM ユーザーを作成してください。過剰な権限を防ぎ、共有された認証情報による侵害リスクを低減するために、各アプリケーションに一意の RAM ユーザーと AccessKey ペアを割り当ててください。

    必要な権限

    Alibaba Cloud アカウントは過剰な権限を持つため、AccessKey ペアの作成に使用することは避けてください。代わりに、必要な権限を持つ RAM ユーザーを使用して、RAM ユーザーの AccessKey ペアを作成および管理してください。

    • 管理者に AliyunRAMFullAccess (RAM 管理者) システムポリシーをアタッチして、RAM ユーザーの AccessKey ペアの作成と管理を許可できます。

    • また、RAM のグローバルセキュリティ設定で Allow users to manage AccessKey を有効にすると、ユーザーは自身の AccessKey ペアを管理できるようになります。詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。

      説明

      この設定を有効にすると、管理者がこれらのアクションを明示的に拒否するポリシーをアタッチしない限り、すべての RAM ユーザーが自身の AccessKey ペアの作成、無効化、削除などの操作を管理できるようになります。

      本番環境ではこの設定を有効にしないでください。特定のユーザーに自身の AccessKey ペアの管理を許可するには、カスタムポリシーを使用し、Resource をそのユーザーに制限します。ポリシーのサンプルは以下の通りです:

      セルフサービスでの作成を許可

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateAccessKey",
        "ram:ListAccessKeys"
      ],
      "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME"
    }
  ]
}

      セルフサービスでの管理を許可

      {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ram:CreateAccessKey",
        "ram:ListAccessKeys",
        "ram:UpdateAccessKey",
        "ram:DeleteAccessKey",
        "ram:GetAccessKeyLastUsed",
        "ram:ListAccessKeysInRecycleBin"
      ],
      "Resource": "acs:ram:*:ACCOUNT_ID:user/USER_NAME"
    }
  ]
}

    RAM ユーザーの AccessKey の作成

    RAM 管理者 (AliyunRAMFullAccess ポリシーを持つ) として、以下の手順を実行します。RAM ユーザーがいない場合は、まずRAM ユーザーを作成してください。

    説明

    RAM ユーザーは、「Alibaba Cloud アカウント AccessKey を作成する (非推奨)」の手順に従って、自身の AccessKey ペアを作成します。

    コンソール

    1. RAM コンソールにサインインします。左側のナビゲーションペインで、アイデンティティ > ユーザー を選択します。

    2. ユーザーリストで、対象の [RAM ユーザー]を見つけ、そのユーザー名をクリックします。

    3. [AccessKey] タブで、AccessKey の作成 をクリックします。

      image

      説明

      各 RAM ユーザーは最大 2 つの AccessKey ペアを持つことができます。1 つはアクティブな使用のため、もう 1 つは古いものを置き換えるためのローテーション用に作成できます。

    4. ダイアログボックスで、ユースケースと推奨事項を確認します。AccessKey ペアを作成する必要がある場合は、ユースケースを選択し、I confirm that it is necessary to create an AccessKey を選択してから、[続行] をクリックします。選択したユースケースは、作成される AccessKey ペアには影響しません。

      image

    5. プロンプトに従って、セキュリティ検証を完了します。

    6. AccessKey の作成 ダイアログボックスで、AccessKey ID と AccessKey シークレットを保存し、OK をクリックします。

      AccessKey ペアのネットワークアクセスコントロールポリシーの設定 (オプション):OpenAPI リクエストのソース IP アドレスを制限して、コールを信頼できるネットワークに制限します。[ネットワークアクセスポリシーの設定] をクリックして、制限を設定します。詳細については、「RAM ユーザーの AccessKey レベルのネットワークアクセスコントロールポリシーの設定」をご参照ください。

      Snipaste_2025-12-04_12-07-47

      重要

      侵害のリスクを軽減するため、AccessKey シークレットは作成時にのみ表示されます。後で取得することはできません。必ず安全に保管してください。

    OpenAPI

    CreateAccessKey API を呼び出し、次のパラメーターを指定します:

    • UserPrincipalName:AccessKey ペアを所有するユーザーのログオン名です。フォーマットは test@example.onaliyun.com です。ユーザーのログオン名は RAM コンソールで確認できます。

    重要

    侵害のリスクを軽減するため、AccessKey シークレットCreateAccessKey API のレスポンスでのみ返されます。後で取得することはできません。必ず安全に保管してください。

    Alibaba Cloud アカウントの AccessKey の作成 (非推奨)

    警告

    絶対に必要な場合を除き、Alibaba Cloud アカウントの AccessKey ペアを作成したり、使用したりしないでください。続行する前に、代わりに RAM ユーザーの AccessKey ペアを使用できるかどうかを検討してください。

    1. Alibaba Cloud アカウントで Alibaba Cloud コンソールにサインインします。

    2. 右上隅のプロフィールアイコンにカーソルを合わせ、[AccessKey] をクリックします。

      image

    3. [クラウド アカウントの AccessKey ペアは非推奨です] ダイアログボックスで、Alibaba Cloud アカウントの AccessKey ペアを作成することに伴うリスクを確認します。続行するには、I am aware of the security risks of using a main account AccessKey. を選択し、[クラウド アカウントの AccessKey を使用] をクリックします。

      image

    4. [AccessKey] ページで、AccessKey の作成 をクリックします。

      image

      説明

      Alibaba Cloud アカウントは最大 2 つの AccessKey ペアを持つことができます。1 つはアクティブな使用のため、もう 1 つは古いものを置き換えるためのローテーション用に作成できます。

    5. Create Main Account AccessKey ダイアログボックスで、リスクと制限を再度確認します。Alibaba Cloud アカウントの AccessKey ペアを作成することを確信している場合は、I am aware of the security risks of using a main account AccessKey. を選択し、[クラウド アカウントの AccessKey を使用] をクリックします。

      20251204150912

    6. AccessKey の作成 ダイアログボックスで、AccessKey ID と AccessKey シークレットを保存し、AccessKey Secretを保存しました を選択してから、OK をクリックします。

      AccessKey ペアのネットワークアクセスコントロールポリシーの設定 (推奨):OpenAPI リクエストのソース IP アドレスを制限して、コールを信頼できるネットワークに制限します。[ネットワークアクセスポリシーの設定] をクリックして、制限を設定します。詳細については、「Alibaba Cloud アカウントの AccessKey レベルのネットワークアクセスコントロールポリシーの設定」をご参照ください。

      image

      重要

      侵害のリスクを軽減するため、Alibaba Cloud アカウントの AccessKey シークレットは作成時にのみ表示されます。後で取得することはできません。必ず安全に保管してください。

    関連トピック