このトピックでは、RAM (Resource Access Management) を使用して、Cloud Storage Gateway (CSG) へのAlibaba Cloudアカウントのアクセスを制御する方法について説明します。 アクセス制御を実装するには、RAMユーザーまたはグループを作成し、ユーザーまたはグループに必要な権限を付与する必要があります。
背景情報
RAMは、Alibaba CloudアカウントのAccessKeyペアを公開せずに共有アクセスを実装できるAlibaba Cloudアクセス制御サービスです。 必要に応じて最小限の権限をユーザーに付与でき、データセキュリティの向上に役立ちます。 詳細については、「RAM の概要」、
RAMユーザー: 組織内の複数のユーザーがゲートウェイにアクセスする必要がある場合、指定したユーザーがゲートウェイにアクセスできるようにするポリシーを作成できます。 これにより、AccessKeyペアの共有によるリークリスクを防ぎ、アカウントのセキュリティを向上させます。
RAMユーザーグループ:複数のユーザーグループを作成し、各ユーザーグループに異なる権限を付与できます。 同じグループ内のユーザーを同時に管理できます。
RAM ユーザーの作成
Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択し、ユーザーの作成をクリックします。
ユーザーアカウント情報を設定します。
許可されるアクセス方法を指定します。 コンソールアクセス、OpenAPIアクセス、またはその両方を選択できます。
ログインパスワードの設定でカスタムパスワードのリセットを選択し、初期パスワードを入力し、パスワードリセットで次のログオン時に必要を選択します。
(オプション)MFAの有効化で必須を選択し、OKをクリックします。
アカウントのユーザー名、パスワード、およびAccessKeyのペアを保存します。
説明AccessKeyペアをすぐに保存し、厳密に機密保持することを推奨します。
「グループの作成」
Alibaba Cloudアカウント内に複数のRAMユーザーがいる場合は、RAMユーザーグループを作成して、これらのRAMユーザーを分類および権限付与できます。 これにより、RAMユーザーと権限の管理が簡素化されます。
Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。
左側のナビゲーションペインで、を選択し、ユーザーグループの作成をクリックします。
ユーザーグループ名と表示名を指定し、OKをクリックします。
RAM ユーザーまたはグループへの権限付与
デフォルトでは、RAMユーザーまたはグループには権限がありません。 ユーザーまたはグループを使用してリソースを管理する前に、コンソールを使用するか、関連するAPI操作を呼び出してRAMユーザーまたはグループに権限を付与する必要があります。 次の例では、RAMユーザーに権限を付与する方法について説明します。
ユーザーページでRAMユーザーを選択し、[アクション] 列の権限の追加をクリックします。
権限の追加パネルで、RAMユーザーにアタッチするポリシーを選択します。
オンプレミスゲートウェイにアクセスするには、AliyunHCSSGWFullAccessおよびAliyunOSSFullAccessポリシーのみをユーザーにアタッチする必要があります。 Alibaba Cloudにデプロイされたゲートウェイにアクセスするには、RAMユーザーに次のポリシーをアタッチする必要があります。
AliyunHCSSGWFullAccess:CSGへのフルアクセスを提供します。
AliyunOSSFullAccess:OSS (Object Storage Service) へのフルアクセスを提供します。
AliyunVPCFullAccess:VPC (Virtual Private Cloud) へのフルアクセスを提供します。
AliyunECSFullAccess:ECS (Elastic Compute Service) へのフルアクセスを提供します。
