RAMユーザーを使用してCloud Backupで操作を実行する - Cloud Backup

Alibaba Cloudアカウントのセキュリティリスクを軽減するために、Cloud BackupリソースをResource Access Management (RAM) ユーザーとして管理できます。このトピックでは、RAMユーザーを作成し、RAMユーザーにCloud Backupへのアクセスと操作の権限を付与する方法について説明します。

背景情報

実際のシナリオでは、Cloud BackupでO&M操作を実行するか、RAMユーザーとしてCloud Backupリソースにアクセスする必要があります。上記のシナリオでは、RAMユーザーを作成し、RAMユーザーにCloud Backupリソースへのアクセス権限または管理権限を付与できます。データのセキュリティを確保するために、RAMユーザーにCloud Backupの権限を付与する際は、最小権限 (PoLP) の原則に従うことを推奨します。 RAMユーザーの詳細については、「概要」をご参照ください。

ステップ1: RAMユーザーの作成

RAMを使用してユーザー権限を管理するには、RAMユーザーを作成し、各RAMユーザーに異なる権限を付与する必要があります。

RAMユーザーを作成するには、次の手順を実行します。

手順

Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーで RAMコンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。
- ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。
- 表示名: 表示名の長さは最大128文字です。
- タグ: アイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。これにより、タグに基づいてRAMユーザーを管理できます。
説明
ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。
アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。
- コンソールアクセス
  RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。
  - コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。パスワードは複雑さの要件を満たす必要があります。詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。
  - パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。
  - MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドするか、RAMユーザーがMFAデバイスをバインドできるようにする必要があります。詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。
- OpenAPIアクセス
  RAMユーザーがプログラムを表している場合は、RAMユーザーにOpenAPI Accessを選択することを推奨します。これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。詳細については、「AccessKeyペアの取得」をご参照ください。
  重要
  RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。その後の操作で AccessKey secret のクエリを実行することはできません。したがって、AccessKey secret はバックアップしておく必要があります。
OK.
プロンプトに従って完全なセキュリティ検証。

ステップ2: RAMユーザーに権限を付与する

デフォルトでは、新しいRAMユーザーには権限がありません。 RAMユーザーを使用してCloud Backupコンソールで操作を実行したり、API操作を呼び出したりする前に、RAMユーザーに必要な権限を付与する必要があります。

Cloud Backupには、次の2つのシステムポリシーがあります。

AliyunHBRFullAccess: RAMユーザーにCloud Backupのフルアクセス権限を付与します。このポリシーは高いリスクを引き起こす可能性があります。作業は慎重に行ってください。
AliyunHbrReadOnlyAccess: RAMユーザーにCloud Backupの読み取り専用権限を付与します。

RAMコンソールでRAMユーザーにカスタムポリシーをアタッチして、きめ細かなアクセス制御を実現することもできます。詳細については、「カスタムポリシーの作成」をご参照ください。

この例では、AliyunHBRReadOnlyAccessポリシーがRAMユーザーにアタッチされています。

RAMコンソール
On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
[権限付与] パネルで、[ポリシー] のAliyunHBRReadOnlyAccessを検索して選択します。ポリシーは、右側の [選択されたポリシー] セクションで選択されます。
説明
右側の [選択したポリシー] セクションで、ポリシーの横にある十字記号 (×) をクリックしてポリシーを削除できます。
承認結果を確認します。次に、[権限の付与] をクリックします。

ステップ3: RAMユーザーを使用してバックアップ操作を実行する

RAMユーザーとしてCloud Backupコンソールにログインし、バックアップおよび復元操作を実行します。

Cloud Backupコンソール.
左側のナビゲーションウィンドウで、別のバックアップ機能を選択し、バックアップと復元の操作を実行します。
リソースを初めてバックアップすると、Cloud Backupはサービスにリンクされたロールを自動的に作成し、リソースにアクセスするためのアクセス許可を取得します。ウィザードの手順に従って、サービスにリンクされたロールを作成します。詳細については、「クラウドバックアップのサービスにリンクされたロール」をご参照ください。

その他のポリシー参照

バックアップコンテナーの権限をRAMユーザーに付与できます。たとえば、バックアップコンテナーを使用して、RAMユーザーにデータのバックアップまたは復元のみを許可できます。

次のサンプルポリシーを使用して、権限を付与できます。カスタムポリシーを作成するには、いずれかのスクリプトをコピーしてRAMコンソールに貼り付けます。次に、カスタムポリシーをRAMユーザーにアタッチします。詳細については、「バックアップ権限と回復権限の分離」をご参照ください。

RAMユーザーがバックアップボールトからデータを復元できないようにするには、次のサンプルポリシーを使用します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:CreateRestore",
                "hbr:CreateRestoreJob",
                "hbr:CreateHanaRestore",
                "hbr:CreateUniRestorePlan",
                "hbr:CreateSqlServerRestore"
            ],
            "Resource": [
                "acs:hbr:*:1178******531:vault/v-000******blx06",
                "acs:hbr:*:1178******531:vault/v-000******blx06/client/*"
            ]
        }
    ]
}

RAMユーザーがバックアップボールトにデータをバックアップすることを禁止するには、次のサンプルポリシーを使用します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "hbr:CreateUniBackupPlan",
                "hbr:UpdateUniBackupPlan",
                "hbr:DeleteUniBackupPlan",
                "hbr:CreateHanaInstance",
                "hbr:UpdateHanaInstance",
                "hbr:DeleteHanaInstance",
                "hbr:CreateHanaBackupPlan",
                "hbr:UpdateHanaBackupPlan",
                "hbr:DeleteHanaBackupPlan",
                "hbr:CreateClient",
                "hbr:CreateClients",
                "hbr:UpdateClient",
                "hbr:UpdateClientSettings",
                "hbr:UpdateClientAlertConfig",
                "hbr:DeleteClient",
                "hbr:DeleteClients",
                "hbr:CreateJob",
                "hbr:UpdateJob",
                "hbr:CreateBackupPlan",
                "hbr:UpdateBackupPlan",
                "hbr:ExecuteBackupPlan",
                "hbr:DeleteBackupPlan",
                "hbr:CreateBackupJob",
                "hbr:CreatePlan",
                "hbr:UpdatePlan",
                "hbr:CreateTrialBackupPlan",
                "hbr:ConvertToPostPaidInstance",
                "hbr:KeepAfterTrialExpiration"
            ],
            "Resource": [
                "acs:hbr:*:1178******9531:vault/v-000******blx06",
                "acs:hbr:*:1178******9531:vault/v-000******blx06/client/*"
            ]
        }
    ]
}

次のステップ

RAMユーザーとしてAlibaba Cloud管理コンソールにログインします