すべてのプロダクト
Search
ドキュメントセンター

Cloud Backup:RAMユーザーを作成し、RAMユーザーにCloud Backupへのアクセスを許可する

最終更新日:Jul 16, 2024

Alibaba Cloudアカウントのセキュリティリスクを軽減するために、Cloud BackupリソースをResource Access Management (RAM) ユーザーとして管理できます。 このトピックでは、RAMユーザーを作成し、RAMユーザーにCloud Backupへのアクセスと操作の権限を付与する方法について説明します。

背景情報

実際のシナリオでは、Cloud BackupでO&M操作を実行するか、RAMユーザーとしてCloud Backupリソースにアクセスする必要があります。 上記のシナリオでは、RAMユーザーを作成し、RAMユーザーにCloud Backupリソースへのアクセス権限または管理権限を付与できます。 データのセキュリティを確保するために、RAMユーザーにCloud Backupの権限を付与する際は、最小権限 (PoLP) の原則に従うことを推奨します。 RAMユーザーの詳細については、「概要」をご参照ください。

ステップ1: RAMユーザーの作成

RAMを使用してユーザー権限を管理するには、RAMユーザーを作成し、各RAMユーザーに異なる権限を付与する必要があります。

RAMユーザーを作成するには、次の手順を実行します。

手順

  1. Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーで RAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. [ユーザー] ページで、[ユーザーの作成] をクリックします。

  4. [ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。

    • ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。

    • 表示名: 表示名の長さは最大128文字です。

    • タグ: editアイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。

    説明

    ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。

  5. アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。

    Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。

    • コンソールアクセス

      RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。 これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。 コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。

      • コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。 パスワードは複雑さの要件を満たす必要があります。 詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。

      • パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。

      • MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドするか、RAMユーザーがMFAデバイスをバインドできるようにする必要があります。 詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。

    • OpenAPIアクセス

      RAMユーザーがプログラムを表している場合は、RAMユーザーにOpenAPI Accessを選択することを推奨します。 これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。 詳細については、「AccessKeyペアの取得」をご参照ください。

      重要

      RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 したがって、AccessKey secret はバックアップしておく必要があります。

  6. OK.

  7. プロンプトに従って完全なセキュリティ検証。

ステップ2: RAMユーザーに権限を付与する

デフォルトでは、新しいRAMユーザーには権限がありません。 RAMユーザーを使用してCloud Backupコンソールで操作を実行したり、API操作を呼び出したりする前に、RAMユーザーに必要な権限を付与する必要があります。

Cloud Backupには、次の2つのシステムポリシーがあります。

  • AliyunHBRFullAccess: RAMユーザーにCloud Backupのフルアクセス権限を付与します。 このポリシーは高いリスクを引き起こす可能性があります。 作業は慎重に行ってください。

  • AliyunHbrReadOnlyAccess: RAMユーザーにCloud Backupの読み取り専用権限を付与します。

RAMコンソールでRAMユーザーにカスタムポリシーをアタッチして、きめ細かなアクセス制御を実現することもできます。 詳細については、「カスタムポリシーの作成」をご参照ください。

この例では、AliyunHBRReadOnlyAccessポリシーがRAMユーザーにアタッチされています。

  1. RAMコンソール

  2. On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。

    image

    複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

  3. [権限付与] パネルで、[ポリシー]AliyunHBRReadOnlyAccessを検索して選択します。 ポリシーは、右側の [選択されたポリシー] セクションで選択されます。

    説明

    右側の [選択したポリシー] セクションで、ポリシーの横にある十字記号 (×) をクリックしてポリシーを削除できます。

  4. 承認結果を確認します。 次に、[権限の付与] をクリックします。

ステップ3: RAMユーザーを使用してバックアップ操作を実行する

RAMユーザーとしてCloud Backupコンソールにログインし、バックアップおよび復元操作を実行します。

  1. Cloud Backupコンソール.

  2. 左側のナビゲーションウィンドウで、別のバックアップ機能を選択し、バックアップと復元の操作を実行します。

    リソースを初めてバックアップすると、Cloud Backupはサービスにリンクされたロールを自動的に作成し、リソースにアクセスするためのアクセス許可を取得します。 ウィザードの手順に従って、サービスにリンクされたロールを作成します。 詳細については、「クラウドバックアップのサービスにリンクされたロール」をご参照ください。

その他のポリシー参照

バックアップコンテナーの権限をRAMユーザーに付与できます。 たとえば、バックアップコンテナーを使用して、RAMユーザーにデータのバックアップまたは復元のみを許可できます。

次のサンプルポリシーを使用して、権限を付与できます。 カスタムポリシーを作成するには、いずれかのスクリプトをコピーしてRAMコンソールに貼り付けます。 次に、カスタムポリシーをRAMユーザーにアタッチします。 詳細については、「バックアップ権限と回復権限の分離」をご参照ください。

  • RAMユーザーがバックアップボールトからデータを復元できないようにするには、次のサンプルポリシーを使用します。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "hbr:CreateRestore",
                    "hbr:CreateRestoreJob",
                    "hbr:CreateHanaRestore",
                    "hbr:CreateUniRestorePlan",
                    "hbr:CreateSqlServerRestore"
                ],
                "Resource": [
                    "acs:hbr:*:1178******531:vault/v-000******blx06",
                    "acs:hbr:*:1178******531:vault/v-000******blx06/client/*"
                ]
            }
        ]
    }
  • RAMユーザーがバックアップボールトにデータをバックアップすることを禁止するには、次のサンプルポリシーを使用します。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "hbr:CreateUniBackupPlan",
                    "hbr:UpdateUniBackupPlan",
                    "hbr:DeleteUniBackupPlan",
                    "hbr:CreateHanaInstance",
                    "hbr:UpdateHanaInstance",
                    "hbr:DeleteHanaInstance",
                    "hbr:CreateHanaBackupPlan",
                    "hbr:UpdateHanaBackupPlan",
                    "hbr:DeleteHanaBackupPlan",
                    "hbr:CreateClient",
                    "hbr:CreateClients",
                    "hbr:UpdateClient",
                    "hbr:UpdateClientSettings",
                    "hbr:UpdateClientAlertConfig",
                    "hbr:DeleteClient",
                    "hbr:DeleteClients",
                    "hbr:CreateJob",
                    "hbr:UpdateJob",
                    "hbr:CreateBackupPlan",
                    "hbr:UpdateBackupPlan",
                    "hbr:ExecuteBackupPlan",
                    "hbr:DeleteBackupPlan",
                    "hbr:CreateBackupJob",
                    "hbr:CreatePlan",
                    "hbr:UpdatePlan",
                    "hbr:CreateTrialBackupPlan",
                    "hbr:ConvertToPostPaidInstance",
                    "hbr:KeepAfterTrialExpiration"
                ],
                "Resource": [
                    "acs:hbr:*:1178******9531:vault/v-000******blx06",
                    "acs:hbr:*:1178******9531:vault/v-000******blx06/client/*"
                ]
            }
        ]
    }

次のステップ

RAMユーザーとしてAlibaba Cloud管理コンソールにログインします