Resource Access Management

クラウドリソースを保護し、ユーザーとグループに対してきめ細かいアクセス権限を定義します。

Alibaba Cloud Resource Access Management (RAM) は、ユーザーとそのアクセス権限を制御するサービスです。このサービスでは、ユーザー (従業員、システム、アプリケーションなど) を一元管理し、権限レベルによりリソースへのアクセスを安全に制御できます。したがって、RAM ではクラウドリソースのアクセス権限を、一部の高い権限を持つユーザー、企業の社員、パートナーなどに限定して安全に付与することができます。これにより、クラウドリソースはアカウントへの不正アクセスから保護され、適切かつ安全に使用されます。

利点

強化されたセキュリティ
Multi-Factor Authentication (MFA) 技術を利用して、アカウントを確実に保護します。
使いやすさ
Web ベースの Alibaba Cloud 管理コンソールや API を使用して RAM にアクセスし、簡単に設定することができます。
追加料金なしでの利用
追加料金なしで一元管理が可能です。 RAM ユーザーが使用する他のサービスに対してのみ料金が発生します。
1 つの企業アカウントに属する複数のアカウント内の全ユーザーから実行されたリソース操作の料金を 1 つの請求にまとめることができます。
一元管理
RAM ユーザー、グループ、ロールの作成、管理、名前変更、削除が可能です。また、必要な権限を付与することもできます。
Alibaba Cloud リソースのアクセス権限と ID 資格情報の統合管理機能を使用できます。
必要に応じて、リソースやユーザーアカウントから権限を取り消すことができます。

特徴

  • ユーザー管理

    ユーザー管理

    プライマリアカウントを使用して、RAM ユーザーを作成、管理し、権限を付与できます。


    Multi-factor Authentication

    TOTP プロトコル標準 (RFC 6238) 準拠の MFA デバイスに対応しています。


    独立したパスワードポリシー管理

    ユーザーにカスタムパスワード強度ポリシーを作成して、許容されるログイン試行回数やパスワード有効期間など、パスワードポリシーを設定できます。


    ユーザーグループ

    ユーザーグループの作成・管理により複数のユーザーに同一の権限を割り当てられます。


    アクセスキー

    コンソールを使用して、操作を実行するユーザーにアクセスキーを設定できます。また、プログラムからアクセスする必要があるユーザーには、API アクセスキーを設定することもできます。

  • SSO (ID フェデレーション)

    ユーザーベース SSO

    IdP を設定して SAML アサーションに RAM ユーザーを指定し、この RAM ユーザーを使用して Alibaba Cloud にアクセスできます。


    ロールベース SSO

    IdP を設定して SAML アサーションに RAM ロールを指定し、この RAM ロールを使用して Alibaba Cloud にアクセスできます。

  • 権限付与管理

    実行権限

    特定の条件で、特定のリソースに対し、特定の操作の実行を許可または拒否する権限を設定できます。


    カスタム権限付与

    カスタム権限付与ポリシーを使用して、ユーザーの権限を効率的に管理できます。


    グループ権限

    グループ化された権限付与のメカニズムによりシナリオ固有の権限を付与し、権限管理に伴う負荷を軽減させることができます。


    ユーザー権限付与

    自分のアカウントや他の Alibaba Cloud アカウント配下のユーザーに、ユーザーやユーザーグループの権限を付与できます。

  • Security Token Service

    アクセス権限

    Security Token Service により特定のクラウドリソースのアクセス権限がモバイルクライアントに付与されるため、モバイルクライアントからもクラウドリソースに直接アクセスすることができます。


    有効期限のカスタマイズ

    トークンの有効期間をカスタマイズして、セキュリティを強化できます。

  • 高い柔軟性

    きめ細かい権限付与

    1 つのリソースに対する 1 つまたは複数の操作権限を付与できます。たとえば、リソースを作成、操作実行、削除する権限を付与できます。


    複数条件での権限付与

    IP、時間などの条件でアクセス権限を制限することができます。


    バージョン管理のメカニズム

    各権限付与ポリシーは複数のバージョンを保持しているため、誤って削除しても元に戻すことができます。

  • 使用と課金

    追加料金不要

    RAM の利用に追加料金は発生しません。RAM ユーザーが使用する他の Alibaba プロダクト/サービスに対してのみ料金が発生します。


    一括請求

    すべての RAM ユーザー/アカウントからのリソース操作で発生した料金を 1 つの請求にまとめることができます。

利用イメージ

  • 企業のユーザーアカウント管理と権限の割り当て
  • モバイルアプリ用の一時的な権限付与管理
  • 企業間のリソース操作と権限付与管理
企業のユーザーアカウント管理と権限の割り当て

企業のユーザーアカウント管理と権限の割り当て

ある企業のプロジェクトでは、ECS/RDS/SLB インスタンスや OSS バケットなど、複数のクラウドリソースを購入しました。異なる職務や権限を持つ従業員がさまざまな操作を行う必要があります。それぞれに独立したユーザーアカウントやオペレーターアカウントを割り当てることで、権限を持つリソース操作のみを実行できます。このようにして、企業はセキュリティを犠牲にすることなく、ユーザーアカウントの権限をいつでも付与/取り消すことができます。また、リソース操作料金は、プライマリアカウントである企業にまとめて請求されます。

このシナリオの推奨設定

  • RAM ユーザーアカウントと権限付与管理機能

利点

  • - プライマリアカウントを MFA デバイスにバインドし、MFA を設定して、プライマリアカウントパスワードの漏えいによるリスクを防止します。

  • - RAM を有効にします。

  • - 各従業員 (またはアプリケーションシステム) のユーザーアカウントと RAM ユーザーアカウントを作成し、必要に応じてログインパスワードを設定するか、アクセスキーを作成します。

  • - 同じ職務の従業員用のグループを作成し、このグループにユーザーを追加します。

  • - カスタム権限付与ポリシーを作成し、グループ/ユーザーにバインドして権限を付与します。

モバイルアプリ用の一時的な権限付与管理

モバイルアプリ用の一時的な権限付与管理

ある企業は、すべてのアプリに対して AppServer からのデータ送信を許可する必要はないと考えています。しかし、モバイルアプリはモバイルデバイスで実行されるため、これらのデバイスを制御できません。また、この企業は各アプリに最小限の権限を持つアクセストークンを付与し、アクセス時間を短縮することで、セキュリティリスクを最小限に抑えたいと考えています。

このシナリオの推奨設定

  • RAM STS トークン

利点

  • - 権限付与プロセスを完了するには、ロールを作成し、権限付与ポリシーにバインドして権限を付与します。

  • - AppServer の RAM ユーザーを作成し、このユーザーに対して、作成したロールを引き継ぐ権限を付与します。

  • - AppServer により、リソースにアクセスするための STS トークンが発行されます。

企業間のリソース操作と権限付与管理

企業間のリソース操作と権限付与管理

企業 A は複数のクラウドリソースを購入し、企業 B にクラウドリソースの O&M、モニタリング管理などのタスクの権限を付与しました。企業 B は、企業 A のリソースへのアクセス権限を企業 B の従業員に割り当てることができます。企業 B は、企業 A のリソースに対して企業 B の従業員が実行できる操作を厳密に制御する必要があります。O&M の委託契約が解除された場合、企業 A は企業 B の権限を自由に取り消すことができます。

このシナリオの推奨設定

  • クロスアカウント権限付与用の RAM ロール

利点

  • - ロールを作成し、クロスアカウントの権限を付与します。

  • - サブユーザーを作成し、ロールを引き継ぐ権限を付与すると、コンソールからクロスアカウントのリソースにアクセスできます。

よくある質問

1. Alibaba Cloud RAM の使用を開始する方法を教えてください。

Alibaba Cloud にサインインすると、Web ベースの Alibaba Cloud 管理コンソールか RAM API (プログラムからのアクセス用) を使用してユーザーやグループを作成したり、さまざまなリソースへのアクセス権限を割り当てたりすることができます。

2. サブユーザーが Alibaba Cloud 管理コンソールにサインインする方法を教えてください。

ログインページにアクセスするか、管理コンソールのダッシュボードにあるリンクを使用します。

3. RAM との統合に対応している Alibaba Cloud のプロダクトとサービスを教えてください。

table1

4. RAM ロールについて教えてください。

RAM ロールは、仮想ユーザー (シャドウアカウント) または RAM ユーザーの一種です。このユーザーには固定 ID があり、ポリシーを付与することができます。ただし、RAM ロールは、許可された実ユーザーが引き継ぐ必要があります。

5. 新しい RAM ユーザーには、どのような操作権限が付与されますか。

デフォルトでは、新しい RAM ユーザーに操作権限は付与されません。RAM ユーザーはオペレーターとして機能するので、明示的に操作の実行権限が付与されていなければなりません。RAM ユーザーは、権限が付与されて初めて、コンソールや API からリソース操作を実行できます。

6. 権限付与ポリシーについて教えてください。

権限付与ポリシーは、権限付与ポリシー言語を使用して記述される権限のグループです。対象とするリソースセットや操作セットのほか、権限付与条件を詳細に定義できます。

7. Alibaba Cloud でサポートされているすべてのシステム権限付与ポリシーを表示する方法を教えてください。

Alibaba Cloud でサポートされているすべてのシステム権限付与ポリシーを表示するには、RAM コンソールにログインし、[権限付与ポリシー管理] ページに移動すると、一覧が表示されます。

8. RoleARN について教えてください。

RoleARN は、ロールを特定するグローバルリソース記述子です。RoleARN は、Alibaba Cloud の ARN 命名規則に従います。

たとえば、Alibaba Cloud アカウントの devops ロールの RoleARN は、acs:ram::1234567890123456:role/devops です。

9. 複数のバージョンを持つ権限付与ポリシーを削除する方法を教えてください。

何度か編集や保存した権限付与ポリシーには、複数のバージョンが追加されています。すべてのバージョンを RAM コンソールから削除した後、デフォルト権限付与ポリシーを削除できます。これにより、Alibaba Cloud アカウントからポリシーが完全に削除されます。

10. よく使用される権限を割り当てる方法を教えてください。

よく使用される権限のセットであるシステム権限付与ポリシーが用意されていて、RAM ユーザー、グループまたはロールにアタッチすることができます。たとえば、これらのポリシーは、ECS に対する読み取り専用権限やフル権限など、Alibaba Cloud で管理されている包括的な権限セットのグループです。これらのポリシーを使用することはできますが、変更することはできません。

11. カスタム権限付与ポリシーを作成する方法を教えてください。

1. RAM コンソールにアクセスし、[ポリシー管理]、[カスタムポリシー] の順に選択します。
2. [新しい権限付与ポリシー] をクリックします。
3. リストからテンプレートを選択します (AliyunOSSReadOnlyAccess など)。
4. 必要に応じて権限付与ポリシーの名前、補足、内容を編集します。
5. 必要な箇所を変更したら、[ポリシーの追加] をクリックしてカスタム権限付与ポリシーを作成します。

12. 権限付与ポリシーをグループにアタッチする方法を教えてください。

1. RAM コンソールにログインし、[グループ管理] に移動します。
2. グループを選択し、[許可] をクリックして [グループの権限付与ポリシーの編集] ページに移動します。
3. 関連する権限付与ポリシーの名前を選択し、グループに権限を付与します。

13. 複数の RAM ユーザーに同じ権限を割り当てる方法を教えてください。

権限付与ポリシーを RAM グループにアタッチします。グループ内のすべてのユーザーに同じ権限が付与されます。

14. RAM ユーザーが安全にサービスを利用するには、どのような方法がありますか。

アクセスキーを使用して API を使用するか管理コンソールにログインすることで、安全にクラウドサービスにアクセスできます。また、MFA (Multi-Factor Authentication) を有効にすると、ユーザー名とパスワードの入力後、もう 1 つの検証コード (2 番目のセキュリティ要素。MFA デバイスから提供されます) を入力する必要があるので、アカウントのセキュリティ層がさらに強化されます。

高品質なサポート

1 対 1 のプリセールスコンサルティング、24 時間体制のテクニカルサポート、迅速な応答、チケット増量

1 対 1 のプリセールスコンサルティング

経験豊富なクラウドエキスパートによるコンサルティング。 詳細を見る

24 時間体制のテクニカルサポート

週 5 日 10 時間から 24 時間 365 日にサービス時間を延長。 詳細を見る

各四半期に 6 枚の無料チケット

無料チケットの数を、四半期ごとに 3 枚から 6 枚に倍増。 詳細を見る

迅速な応答

販売後の応答時間を 36 時間から 18 時間に短縮。 詳細を見る