複数のユーザーがAlibaba Cloudアカウントを使用して同時にリソースにアクセスする場合、Alibaba Cloudアカウント用に複数のRAM (Resource access Management) ユーザーを作成し、RAMユーザーにオンデマンドでリソースを使用するための最小限の権限を付与できます。 これにより、RAMユーザーベースのアクセス制御を実装し、ユーザーがアカウントキーを共有できないようにし、管理効率を向上させ、情報漏洩のリスクを軽減できます。 このトピックでは、ECS (Elastic Compute Service) リソースを使用してリソースへのアクセスを制御する権限をRAMユーザーに付与する方法について説明します。
RAMは、ユーザーIDとリソースアクセス許可を管理するためにAlibaba Cloudが提供するサービスです。 RAMユーザーはRAMアカウントとして機能します。 Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成し、RAMユーザーに異なる権限を付与できます。 これにより、RAMユーザーはさまざまなリソースにアクセスできます。 詳細については、「RAM の概要」、 RAMユーザーの概要
前提条件
Alibaba Cloudアカウントに少なくとも1人のRAMユーザーが作成されています。 詳細については、「RAM ユーザーの作成」をご参照ください。
手順
Alibaba Cloud アカウントを使用して RAM コンソールにログインします。
(オプション) カスタムポリシーを作成します。
Alibaba Cloudが提供するシステムポリシーがビジネス要件を満たしていない場合は、詳細な権限管理の最小権限の原則に基づいてカスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」をご参照ください。
RAMユーザーに権限を付与します。
システムポリシーまたはカスタムポリシーをRAMユーザーにアタッチして、関連するリソースにアクセスまたは管理する権限をRAMユーザーに付与します。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
ポリシーがRAMユーザーにアタッチされると、RAMユーザーはECSコンソールにログインして特定のリソースを管理できます。
詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
関連ドキュメント
RAMユーザーに付与されている権限と、RAMユーザーがRAMユーザーグループから継承している権限を表示できます。 詳細については、「RAMユーザーの権限の表示」をご参照ください。
RAMユーザーが特定の権限を必要としなくなった場合、またはRAMユーザーが組織を離れた場合は、RAMユーザーから権限を取り消すことができます。 詳細については、「RAMユーザーから権限を取り消す」をご参照ください。
RAMユーザーでサポートされている多要素認証 (MFA) メソッド、MFAの使用状況、およびMFAの制限を表示できます。 詳細については、「多要素認証とは何ですか? 」をご参照ください。