IDとアクセス制御は、Alibaba Cloud上のユーザーIDを一元管理するために使用されます。 Alibaba Cloudが提供するIDおよびアクセス制御機能を使用して、認証および許可されたユーザーのみに特定のAlibaba Cloudリソースへのアクセスまたは管理を許可し、権限のないユーザーによるAlibaba Cloudリソースへの悪意のあるアクセスを防止し、コンプライアンスおよび監査要件を満たすことができます。 このトピックでは、IDとアクセス制御の観点からElastic Compute Service (ECS) でサポートされている次のセキュリティ機能について説明します。認証セキュリティの向上、アクセス制御のセキュリティの向上、IDと権限のセキュリティの強化です。
Alibaba Cloudアカウントのセキュリティを強化するために、Alibaba Cloudアカウントの多要素認証 (MFA) を有効にし、Alibaba CloudアカウントのAccessKeyペアではなく、アプリケーションのResource Access Management (RAM) ユーザーのAccessKeyペアを使用することを推奨します。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 外部開発プラットフォームでは、AccessKeyペアを平文で公開しないでください。 長期間使用されていないRAMユーザーを定期的にクリアし、期限付きの一時的なSecurity Token Service (STS) トークンを使用します。
異なる責任を持つユーザーに権限を付与するには、ECSおよびカスタムRAMポリシーで定義されているシステムRAMポリシーを使用することを推奨します。 Alibaba Cloudリソースの使用状況や部門構造など、さまざまなディメンションのリソースグループに基づいてリソースを管理し、さまざまなユーザーにさまざまなリソースグループへのアクセスを許可できます。 タグを使用して、Alibaba Cloudリソースをきめ細かく管理することもできます。
AccessKeyペアをプレーンテキストで使用するのではなく、RAMロールをECSインスタンスにアタッチすることを推奨します。 また、ActionTrailを有効にしてイベント後の動作分析とセキュリティ分析を実行し、潜在的なセキュリティリスクを特定し、コンプライアンスと監査の要件を満たすことを推奨します。
.
認証セキュリティの強化
認証は、資格情報に基づいてユーザーの身元を確認するプロセスです。 ほとんどの場合、ユーザーはECSインスタンスにログインするときにパスワードまたはAccessKeyシークレットを使用してIDを認証します。
MFAの有効化
機能紹介
MFAは、使いやすく効果的な認証モデルであり、ユーザー名とパスワードを使用することに加えて、追加の保護層を追加します。 MFAは、コンソールログインを開始したユーザーまたは機密操作を実行したユーザーを検証します。 これにより、Alibaba Cloudアカウントのセキュリティが確保されます。 MFAは、AccessKeyペアを使用してAPI操作呼び出しに影響を与えません。 詳細については、「」をご参照ください。多要素認証とは何ですか?.
設定方法
ECSインスタンスへのログインにAlibaba CloudアカウントのAccessKeyペアを使用しないことを推奨します。 代わりに、ユーザー名とパスワードを使用してAlibaba Cloudアカウントを保護することに加えて、MFAを有効にしてセキュリティ層を追加することを推奨します。 Alibaba CloudアカウントでMFAを有効にすると、ECSインスタンスにログインするときにMFAデバイスから認証コードの入力を求められます。 詳細については、「MFAデバイスをAlibaba Cloudアカウントにバインドする」をご参照ください。
Alibaba Cloudアカウントの代わりにRAMユーザーを使用し、必要なRAMポリシーをRAMユーザーにアタッチする
最小権限の原則に基づいて、ECSリソースに対するアクセス許可がRAMユーザーに付与されていることを確認してください。 アカウントを共有したり、必要以上の権限を付与したりしないでください。
複数のECSインスタンスを購入し、従業員、システム、アプリケーションなど、組織内の複数のユーザーがインスタンスを使用する必要がある場合は、組織内のユーザーのRAMユーザーを作成し、RAMポリシーをアタッチして、RAMユーザーにインスタンスへのアクセス権限を付与できます。 これにより、AccessKeyペアがリークするリスクがなくなり、ECSリソースに対するアカウントレベルのきめ細かいアクセス制御が実現します。 詳細は、「RAMユーザー」をご参照ください。
RAMには、認証および承認できる次のタイプのIDが用意されています。物理IDであるRAMユーザーと、仮想IDであるRAMロールです。 有効にするには、仮想IDを物理IDが引き受ける必要があります。 詳細については、「アイデンティティ」をご参照ください。
AccessKeyペアのリークを防ぐ
AccessKeyペアは、Alibaba CloudアカウントがAPIにアクセスするための資格情報であり、安全な場所に保存する必要があります。 悪意のある使用によって引き起こされるセキュリティ上の脅威を防ぐために、GitHubなどの方法でAccessKeyペアを公開しないでください。 Alibaba CloudアカウントのAccessKeyペアが公開されている場合、アカウント内のリソースはリスクにさらされます。 AccessKeyペアリークのリスクを最小限に抑えるには、次のセキュリティ提案を参照してください。
AccessKeyペアをコードに埋め込まないでください。
定期的にAccessKeyペアを回転します。
不要なAccessKeyペアを定期的に取り消します。
最小権限の原則に基づいてRAMユーザーを使用します。
acs:SourceIp
パラメーターを設定して、特定のパブリックIPアドレスからAlibaba Cloud APIへのアクセスを制御します。acs:SecureTransport
パラメーターをtrueに設定します。これは、機能とリソースがHTTPS経由でアクセスされることを指定します。
アクセス制御のセキュリティを向上させる
異なる責任を持つユーザーに権限を付与
RAMを使用すると、企業内の複数のユーザーが共同でリソースを管理する場合に、Alibaba CloudアカウントとAccessKeyペアを厳密に機密に保つことができます。 RAMを使用すると、高いセキュリティを確保するために必要な最小限の権限をユーザーに付与することもできます。
デフォルトでは、Alibaba Cloudアカウントにはアカウント内のリソースに対するすべての権限があり、Alibaba Cloudアカウントによって作成されたRAMユーザーには権限がありません。 Alibaba Cloudアカウントは、RAMユーザーに権限を付与する必要があります。 RAMユーザーまたはロールに権限を付与するには、次の手順を実行します。
ポリシーを選択または作成します。
RAMは、システムおよびカスタムポリシーをサポートします。 システムポリシーは、Alibaba Cloudによって作成および管理されます。 システムポリシーは使用できますが、ポリシーを変更することはできません。 カスタムポリシーは、ユーザー定義のポリシーです。 カスタムポリシーは作成、更新、削除できます。
ECSのシステムポリシーの詳細については、「ECSのシステムポリシー」をご参照ください。
ECSのカスタムポリシーの詳細については、「ECSのカスタムポリシー」をご参照ください。
RAMユーザーまたはロールに権限を付与します。
1つ以上のシステムポリシーまたはカスタムポリシーをアタッチして、Alibaba CloudアカウントのRAMユーザーまたはロールに権限を付与できます。 Alibaba Cloudアカウント内のすべてのリソース、またはAlibaba Cloudアカウント内の特定のリソースグループ内のすべてのリソースに対して、RAMユーザーまたはロールの権限を付与できます。
リソースグループを使用してリソースを細かく管理する
機能紹介
リソースグループを使用すると、使用状況、権限、リソースの所有者など、さまざまな基準に基づいてAlibaba Cloudリソースをグループに整理できます。 リソースグループを作成して、複数のユーザーとプロジェクトにまたがるリソースを階層的に管理できます。 各クラウドリソースは、1つのリソースグループにのみ属することができます。 リソースグループにリソースを追加しても、リソース間の関連付けは変更されません。 たとえば、本番環境で使用されるインスタンスをproduction environmentという名前のリソースグループに追加し、ステージング環境で使用されるインスタンスをTest Environmentという名前のリソースグループに追加できます。 詳細については、「」をご参照ください。リソースグループとは
設定方法
リソースグループの作成方法については、「リソースグループの作成」をご参照ください。
ECSインスタンスをリソースグループに追加します。
インスタンスの作成時に、ECSインスタンスをリソースグループに追加できます。 詳細については、「カスタム起動タブでインスタンスを作成する」をご参照ください。
既存のECSインスタンスをあるリソースグループから別のリソースグループに移動できます。 詳細については、「リソースグループ間の手動リソース転送の実行」をご参照ください。
リソースグループを使用してECSリソースを分類および管理する方法のユースケースについては、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」および「リソースグループによるECSインスタンスのコストの割り当て」をご参照ください。
タグを使用してリソースをきめ細かく管理する
機能紹介
タグを使用すると、リソースグループよりも柔軟な方法で、リージョン、部門、環境など、さまざまなディメンションのリソースを分類できます。 各リソースに複数のタグを追加し、タグに基づいてECSリソースへのアクセスを制御できます。 詳細については、「」をご参照ください。タグとは
設定方法
タグを作成してECSインスタンスに追加する方法については、「タグ」をご参照ください。
タグを使用してECSリソースを分類および管理する方法のユースケースについては、「タグを使用してグループごとにECSインスタンスへのアクセスを許可する」および「タグを使用してRAMユーザーが許可されたECSインスタンスのみを管理できるようにする」をご参照ください。
IDと権限のセキュリティを強化する
AccessKeyペアの代わりにインスタンスRAMロールを使用する
機能紹介
ほとんどの場合、ECSインスタンスにデプロイされたアプリケーションは、Alibaba CloudアカウントまたはRAMユーザーのAccessKeyペアを使用して、他のAlibaba CloudサービスのAPIにアクセスします。 ECSインスタンスでAccessKeyペアを使用してAPI操作を呼び出す前に、インスタンスでAccessKeyペアを設定する必要があります。 たとえば、AccessKeyペアをインスタンスの設定ファイルに書き込むことができます。 ただし、この方法では必要以上の権限がユーザーに付与され、情報の漏洩やメンテナンスの複雑さなどの問題が発生する可能性があります。 問題を解決するために、Alibaba CloudはインスタンスRAMロールを提供します。 インスタンスRAMロールを使用することで、AccessKeyペアのセキュリティを確保し、RAMを使用してきめ細かいアクセス制御と権限管理を実行できます。
設定方法
インスタンスRAMロールをECSインスタンスにアタッチして、一時的なアクセス資格情報としてSTSトークンを取得し、インスタンスの一時的なアクセス資格情報を使用して他のAlibaba CloudサービスのAPIにアクセスできます。 一時的なアクセス資格情報は、AccessKeyペアを提供する必要なく、ECSインスタンス内からのみ取得できます。 これにより、Alibaba CloudアカウントのAccessKeyペアのセキュリティが確保され、RAMを使用してきめ細かいアクセス制御と権限管理を実行できます。詳細については、「インスタンスRAMロール」をご参照ください。
ActionTrailの有効化
機能紹介
ActionTrailは、Alibaba Cloudアカウントの操作を監視および記録します。 このサービスを使用して、セキュリティ分析、リソース変更の追跡、およびコンプライアンス監査を実行できます。 ActionTrailは、管理イベントをSimple Log ServiceまたはOSSバケットのログストアに配信できます。 これにより、イベントをリアルタイムで監査し、問題の原因を特定できます。 詳細については、「」をご参照ください。ActionTrailとは何ですか?
ActionTrailコンソールでは、ECSリソースの管理時に生成される管理イベントを照会できます。 詳細については、「ECSの監査イベント」をご参照ください。 ECSインスタンスで操作を実行するときにエラーが発生した場合は、関連するイベントの詳細を照会して、イベントが発生した時刻、イベントが発生したリージョン、関連するECSインスタンスなどの情報を取得できます。
設定方法
デフォルトでは、ECSはActionTrailと統合され、ActionTrailはアクティブ化されます。 ActionTrailを手動で設定する必要はありません。