Resource Access Management (RAM) ユーザーは物理 ID です。Alibaba Cloud アカウントの RAM ユーザーを作成し、さまざまなリソースにアクセスするための権限を RAM ユーザーに付与できます。
前提条件
Alibaba Cloud アカウントが作成され、実名認証が完了しています。Alibaba Cloud 公式 Web サイトにアクセスして、Alibaba Cloud アカウントを作成します。詳細については、「Alibaba Cloud アカウントの作成」をご参照ください。
RAM ユーザーの作成
手順 4 で[ログオン名] を [vod] に設定し、手順 5 で[アクセスモード] を [OpenAPI アクセス] に設定することをお勧めします。このトピックでは、[vod] を例として使用します。
手順
管理者権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。
[ログオン名]:ログオン名は最大 64 文字で、文字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_) を使用できます。
[表示名]:表示名は最大 128 文字です。
[タグ]:
アイコンをクリックし、タグキーとタグ値を入力します。RAM ユーザーに 1 つ以上のタグを追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。
説明[ユーザーの追加] をクリックすると、複数の RAM ユーザーを一度に作成できます。
[アクセスモード] セクションで、アクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーに対して 1 つのアクセスモードのみを選択することをお勧めします。こうすることで、個人の RAM ユーザーとプログラムの RAM ユーザーを区別できます。
[コンソールアクセス]
RAM ユーザーが個人を表す場合は、RAM ユーザーにコンソールアクセスを選択することをお勧めします。こうすることで、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメーターを設定する必要があります。
コンソールパスワードの設定:デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。カスタムパスワードのリセットを選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、「RAM ユーザーのパスワードポリシーの設定」をご参照ください。
パスワードのリセット:次回ログオン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。
MAF の有効化:RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。
[永続 AccessKey を使用してアクセスする]
RAM ユーザーがプログラムを表す場合は、RAM ユーザーに[永続 AccessKey を使用してアクセスする] を選択できます。こうすることで、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「AccessKey ペアを取得する」をご参照ください。
重要RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。
AccessKey ペアは、アプリケーションアクセスのための永続的な認証情報です。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、Security Token Service (STS) トークンを使用することをお勧めします。詳細については、「API オペレーションを呼び出すためのアクセス認証情報のベストプラクティス」をご参照ください。
[OK] をクリックします。
プロンプトに従ってセキュリティ検証を完了します。
[OK] をクリックすると、システムによって RAM ユーザーのログオンパスワードと AccessKey ペアが生成されます。ログオンパスワードと AccessKey ペアは安全に保管してください。
RAM ユーザーに権限を付与する
RAM コンソールにログオンし、[ID] > [ユーザー] をクリックします。表示されるページで、作成した RAM ユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
説明[vod] ユーザーにシステムポリシー [AliyunVODFullAccess] をアタッチして、vod ユーザーがすべて ApsaraVideo VOD リソースを管理および操作するための権限を持つようにすることをお勧めします。検索ボックスに
AliyunVODFullAccessと入力して、システムポリシーを検索できます。ApsaraVideo VOD のシステムポリシーの定義と権限の詳細については、「概要」をご参照ください。
[リソーススコープ] パラメーターを設定します。
[アカウント]:承認は現在の Alibaba Cloud アカウントに有効です。
[リソースグループ]:承認は特定のリソースグループに有効です。
重要[リソーススコープ] パラメーターに [リソースグループ] を選択した場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループで動作するサービス」をご参照ください。リソースグループに権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。
プリンシパルパラメーターを設定します。
プリンシパルとは、権限を付与する RAM ユーザーのことです。現在の RAM ユーザーが自動的に選択されます。
ポリシーパラメーターを設定します。
ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
システムポリシー:Alibaba Cloud によって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって管理されます。詳細については、「RAM で動作するサービス」をご参照ください。
説明システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことをお勧めします。
カスタムポリシー:ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーの作成」をご参照ください。
[権限の付与] をクリックします。
パネルに [完了] と表示されたら、[閉じる] をクリックします。
次のステップ
RAM ユーザーにコンソールにログオンする権限を付与する方法の詳細については、「RAM ユーザーのコンソールログオンを有効にする」をご参照ください。