Alibaba Cloudアカウントのセキュリティリスクを軽減するために、Cloud BackupリソースをResource Access Management (RAM) ユーザーとして管理できます。 このトピックでは、RAMユーザーを作成し、RAMユーザーにCloud Backupへのアクセスと操作の権限を付与する方法について説明します。
背景情報
実際のシナリオでは、Cloud BackupでO&M操作を実行するか、RAMユーザーとしてCloud Backupリソースにアクセスする必要があります。 上記のシナリオでは、RAMユーザーを作成し、RAMユーザーにCloud Backupリソースへのアクセス権限または管理権限を付与できます。 データのセキュリティを確保するために、RAMユーザーにCloud Backupの権限を付与する際は、最小権限 (PoLP) の原則に従うことを推奨します。 RAMユーザーの詳細については、「概要」をご参照ください。
ステップ1: RAMユーザーの作成
RAMを使用してユーザー権限を管理するには、RAMユーザーを作成し、各RAMユーザーに異なる権限を付与する必要があります。
RAMユーザーを作成するには、次の手順を実行します。
手順
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーで RAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。
ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。
表示名: 表示名の長さは最大128文字です。
タグ: アイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。
説明ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。
アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。
コンソールアクセス
RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。 これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。 コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。
コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。 パスワードは複雑さの要件を満たす必要があります。 詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。
パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。
MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドするか、RAMユーザーがMFAデバイスをバインドできるようにする必要があります。 詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。
OpenAPIアクセス
RAMユーザーがプログラムを表している場合は、RAMユーザーにOpenAPI Accessを選択することを推奨します。 これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。 詳細については、「AccessKeyペアの取得」をご参照ください。
重要RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 したがって、AccessKey secret はバックアップしておく必要があります。
OK.
プロンプトに従って完全なセキュリティ検証。
ステップ2: RAMユーザーに権限を付与する
デフォルトでは、新しいRAMユーザーには権限がありません。 RAMユーザーを使用してCloud Backupコンソールで操作を実行したり、API操作を呼び出したりする前に、RAMユーザーに必要な権限を付与する必要があります。
Cloud Backupには、次の2つのシステムポリシーがあります。
AliyunHBRFullAccess: RAMユーザーにCloud Backupのフルアクセス権限を付与します。 このポリシーは高いリスクを引き起こす可能性があります。 作業は慎重に行ってください。
AliyunHbrReadOnlyAccess: RAMユーザーにCloud Backupの読み取り専用権限を付与します。
RAMコンソールでRAMユーザーにカスタムポリシーをアタッチして、きめ細かなアクセス制御を実現することもできます。 詳細については、「カスタムポリシーの作成」をご参照ください。
この例では、AliyunHBRReadOnlyAccessポリシーがRAMユーザーにアタッチされています。
On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
[権限付与] パネルで、[ポリシー] のAliyunHBRReadOnlyAccessを検索して選択します。 ポリシーは、右側の [選択されたポリシー] セクションで選択されます。
説明右側の [選択したポリシー] セクションで、ポリシーの横にある十字記号 (×) をクリックしてポリシーを削除できます。
承認結果を確認します。 次に、[権限の付与] をクリックします。
ステップ3: RAMユーザーを使用してバックアップ操作を実行する
RAMユーザーとしてCloud Backupコンソールにログインし、バックアップおよび復元操作を実行します。
左側のナビゲーションウィンドウで、別のバックアップ機能を選択し、バックアップと復元の操作を実行します。
リソースを初めてバックアップすると、Cloud Backupはサービスにリンクされたロールを自動的に作成し、リソースにアクセスするためのアクセス許可を取得します。 ウィザードの手順に従って、サービスにリンクされたロールを作成します。 詳細については、「クラウドバックアップのサービスにリンクされたロール」をご参照ください。
その他のポリシー参照
バックアップコンテナーの権限をRAMユーザーに付与できます。 たとえば、バックアップコンテナーを使用して、RAMユーザーにデータのバックアップまたは復元のみを許可できます。
次のサンプルポリシーを使用して、権限を付与できます。 カスタムポリシーを作成するには、いずれかのスクリプトをコピーしてRAMコンソールに貼り付けます。 次に、カスタムポリシーをRAMユーザーにアタッチします。 詳細については、「バックアップ権限と回復権限の分離」をご参照ください。
RAMユーザーがバックアップボールトからデータを復元できないようにするには、次のサンプルポリシーを使用します。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateRestore", "hbr:CreateRestoreJob", "hbr:CreateHanaRestore", "hbr:CreateUniRestorePlan", "hbr:CreateSqlServerRestore" ], "Resource": [ "acs:hbr:*:1178******531:vault/v-000******blx06", "acs:hbr:*:1178******531:vault/v-000******blx06/client/*" ] } ] }
RAMユーザーがバックアップボールトにデータをバックアップすることを禁止するには、次のサンプルポリシーを使用します。
{ "Version": "1", "Statement": [ { "Effect": "Deny", "Action": [ "hbr:CreateUniBackupPlan", "hbr:UpdateUniBackupPlan", "hbr:DeleteUniBackupPlan", "hbr:CreateHanaInstance", "hbr:UpdateHanaInstance", "hbr:DeleteHanaInstance", "hbr:CreateHanaBackupPlan", "hbr:UpdateHanaBackupPlan", "hbr:DeleteHanaBackupPlan", "hbr:CreateClient", "hbr:CreateClients", "hbr:UpdateClient", "hbr:UpdateClientSettings", "hbr:UpdateClientAlertConfig", "hbr:DeleteClient", "hbr:DeleteClients", "hbr:CreateJob", "hbr:UpdateJob", "hbr:CreateBackupPlan", "hbr:UpdateBackupPlan", "hbr:ExecuteBackupPlan", "hbr:DeleteBackupPlan", "hbr:CreateBackupJob", "hbr:CreatePlan", "hbr:UpdatePlan", "hbr:CreateTrialBackupPlan", "hbr:ConvertToPostPaidInstance", "hbr:KeepAfterTrialExpiration" ], "Resource": [ "acs:hbr:*:1178******9531:vault/v-000******blx06", "acs:hbr:*:1178******9531:vault/v-000******blx06/client/*" ] } ] }