アカウントのセキュリティを確保するために、Alibaba Cloud アカウントではなく、Resource Access Management (RAM) アイデンティティ (RAM ユーザーまたは RAM ロール)を使用して Virtual Private Cloud にアクセスすることを推奨します。
RAM ユーザー
Alibaba Cloud アカウントを使用するか、管理者権限を持つ RAM ユーザーと RAM ロールを使用して、新しい RAM ユーザーを作成できます。RAM ユーザーは必要な権限が付与されると、コンソールまたは API 経由で、Alibaba Cloud サービスにアクセスします。
注意事項
Alibaba Cloud アカウントを使用して RAM ユーザーを作成し、管理者権限を付与します。管理者権限を持つ RAM ユーザーを使用して他の RAM ユーザーを作成および管理できます。
RAM ユーザーを作成する時、[コンソールへのアクセス] と [Using permanent AccessKey to access] の 2 つのアクセスモードがあります。前者を選択する場合、パラメーター設定において、多要素認証 (MFA) を有効にすることをお勧めします。作成した RAM ユーザーを使用して、コンソールにログインし、Alibaba Cloud サービスにアクセスします。後者を選択する場合、作成した RAM ユーザーを使用して、API 経由で Alibaba Cloud サービスにアクセスします。
必要に応じて RAM ユーザーに最小権限を付与します。最小権限とは、操作を実行するために必要な最小限の権限です。最小権限を活用することで、データセキュリティが向上し、権限の悪用を防ぐことができます。
アクセスキーペアの漏洩を防ぐために、アクセスキー ID またはアクセスキーシークレットをコードに埋め込まないでください。アクセスキーペアの漏洩は、アカウント内のすべてのリソースに対するセキュリティリスクを引き起こします。そのため、Security Token Service (STS) トークンを使用するか、環境変数を設定してアクセス権限を取得することをお勧めします。
必要に応じて、RAM ユーザーに対してシングルサインオン (SSO) を有効にして、企業の ID 管理システムから Alibaba Cloud サービスへのアクセスができるようになります。
関連ドキュメント
RAM ユーザーグループ
RAM ユーザーグループは複数の RAM ユーザーとその権限を管理できます。
注意事項
最小権限の原則に基づいて RAM ユーザーグループに権限を付与します。
RAM ユーザーの職務が変更された場合は、所属しなくなった RAM ユーザーグループから削除します。
RAM ユーザーグループが特定の権限を必要としなくなった場合は、その権限を削除します。
関連ドキュメント
RAM ロール
RAM ロールは、ポリシーをアタッチできる仮想アイデンティティです。ログインパスワードや キーペアなどの永続的なアイデンティティ資格情報がないため、信頼できるエンティティによって引き受けられた後にのみ使用できます。引き受けられてから、信頼できるエンティティは STS トークンを取得できます。その STS トークンを使用して、RAM ロールとして Alibaba Cloud サービスにアクセスできます。
注意事項
RAM ロールの作成後に、信頼できるエンティティを頻繁に変更しないでください。変更すると、権限が失われる可能性があり、ビジネスの実行に影響します。また、信頼できるエンティティを追加すると、権限の悪用によりセキュリティリスクが発生する可能性があります。変更する必要がある場合、必ずテストアカウントで十分にテストしてください。
信頼できるエンティティが権限を取得すると、 AssumeRole インターフェイスを呼び出して STS トークンを取得します。詳細については、「AssumeRole」をご参照ください。STS トークンには有効期間があります。セキュリティのため、有効期間を適切に設定することをお勧めします。
説明STS トークンの最大有効期間は、RAM ロールに指定された最大セッション期間です。セキュリティのため、最大セッション期間も適切に設定してください。
必要に応じて、RAM ロールに対してシングルサインオン (SSO) を有効にして、企業の ID 管理システムから Alibaba Cloud サービスへのアクセスができるようになります。