RAM ユーザーに権限を付与する方法 - Intelligent Media Management

Alibaba Cloud の権限管理メカニズムには、Resource Access Management (RAM) とセキュリティトークンサービス (STS) があります。Intelligent Media Management (IMM) には、意図した権限を持つ RAM ユーザーとして、または STS が提供する一時的なアクセス認証情報を使用してアクセスできます。RAM と STS により、権限管理とアクセスの制御がより柔軟かつ安全になります。

背景情報

RAM と STS の主な利点の 1 つは、アカウントの AccessKey ペアを公開することなく、Alibaba Cloud アカウント内のデータへの一時的なアクセスを許可することで、アカウントのセキュリティを向上させることです。Alibaba Cloud アカウントの AccessKey ペアを持つ攻撃者は、アカウント内のすべてのリソースにアクセスでき、重大なセキュリティ上の問題を引き起こす可能性があります。

RAM
- RAM は、ユーザー ID とリソースアクセス権限を管理するために Alibaba Cloud が提供するサービスです。RAM を使用すると、Alibaba Cloud アカウントの複数の ID を作成および管理し、単一の ID または ID のグループに権限を付与できます。これにより、さまざまな ID にさまざまな Alibaba Cloud リソースへのアクセスを許可できます。詳細については、「RAM とは」をご参照ください。
- RAM は、RAM ユーザーを作成し、さまざまな権限を付与することで、長期的な権限管理メカニズムを提供します。これにより、RAM ユーザーの AccessKey ペアが漏洩した場合でも、漏洩する情報は限定されます。RAM ユーザーは通常、長期間有効です。RAM ユーザーの AccessKey ペアは機密に保つ必要があります。
STS
- STS を使用すると、Alibaba Cloud リソースへの一時的なアクセスを管理できます。STS を使用して、カスタムの有効期間とアクセス権限を持つ一時的なアクセストークンを RAM ユーザーや RAM ロールなどの RAM エンティティに付与できます。詳細については、「STS とは」をご参照ください。
- RAM が提供する長期的な権限管理メカニズムとは対照的に、STS は一時的な AccessKey ペアとトークンを使用して一時的なアクセス権限付与を提供し、IMM への一時的なアクセスを許可します。STS は、限られた期間内でのみ有効な厳格なアクセス権限を付与します。したがって、アクセス認証情報が漏洩しても、システムに深刻な影響はありません。

RAM ユーザーに権限を付与する

データセキュリティと権限コントロールを向上させるために、RAM ユーザーとして IMM サービスを使用することをお勧めします。

RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。
必要に応じて RAM ユーザーに権限を付与します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
- プロジェクトの作成など、IMM サービスを管理する場合は、AliyunIMMFullAccess ポリシーを RAM ユーザーにアタッチします。
- プロジェクトなどの情報を表示するために IMM サービスに対する読み取り専用権限のみが必要な場合は、AliyunIMMReadOnlyAccess ポリシーを RAM ユーザーにアタッチします。
RAM ユーザーの多要素認証 (MFA) を有効にします。詳細については、「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。

一時的なアクセスを許可する

一時的なロールを作成し、そのロールに権限を付与します。
1. 信頼できる Alibaba Cloud アカウントの RAM ロールを作成します。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。
2. カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
  説明
  詳細な権限コントロールを実装するには、ポリシーの権限をカスタマイズできます。詳細については、「IMM のカスタムポリシー」をご参照ください。
3. 一時的なロールに権限を付与します。詳細については、「RAM ロールへの権限付与」をご参照ください。
一時的なアクセス権限を付与します。
1. カスタムポリシーを作成します。詳細については、「カスタムポリシーの作成」をご参照ください。
2. RAM ユーザーが偽装する一時的なロールに権限を付与します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
STS から一時的なアクセス認証情報を取得します。詳細については、「AssumeRole」をご参照ください。
一時的な権限を使用してデータを読み書きします。
一時的な権限を使用して、さまざまなプログラミング言語の SDK を呼び出して IMM にアクセスできます。次のサンプルコードは、IMM SDK for Java を使用して、STS から取得した AccessKey ID、AccessKey Secret、およびトークンに基づいて IAcsClient オブジェクトを作成する方法の例を示しています。
```
DefaultProfile profile = DefaultProfile.getProfile("cn-shanghai", stsAccessKeyId, stsAccessKeySecret, stsToken);
IAcsClient client = new DefaultAcsClient(profile);
```

カスタム RAM ポリシーを設定する

カスタム RAM ポリシーを使用して、ユーザー権限をコントロールできます。次の表に、RAM ポリシーの主要なコンポーネントを示します。

パラメーター	説明
Effect	リクエストされた操作に対する効果。有効な値: Allow: 操作を許可します。 Deny: 操作を拒否します。
Action	Intelligent Media Management が提供する API 操作。フォーマットは `imm:<action>` です (例: `imm:CreateOfficeConversionTask`)。アクションのリストの詳細については、「機能別の操作リスト」をご参照ください。
Resource	現在、Intelligent Media Management にはプロジェクトという 1 種類のリソースしかありません。フォーマットは `acs:imm:<region-id>:<uid>:project/<project>` または `acs:imm:<region-id>:<uid>:project/<project>/dataset/<dataset>` です (例: `acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj` または `acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-photos/dataset/dataset1`)。次の表にパラメーターを示します。 `region-id`: リージョン ID (例: `cn-shanghai` または `cn-beijing`)。 `uid`: アカウント ID。アカウントセンターの [概要] ページでアカウント ID を表示できます。 `project`: プロジェクト作成時に指定したプロジェクト名。Intelligent Media Management コンソールでプロジェクト名を確認できます。説明 CreateProject や ListProjects などのプロジェクト関連の操作で、対応するリソースが操作されない場合は、Resource を `*` に設定する必要があります。 `dataset`: データセット作成時に指定したデータセットの名前。ListDatasets 操作を呼び出して名前を表示できます。

詳細については、「カスタムポリシーの作成」をご参照ください。

例

フルアクセスを許可する

RAM ポリシーを使用して、IMM へのフルアクセスを許可できます。次のサンプルコードは、IMM へのフルアクセスを許可します。

{
    "Version": "1",
    "Statement": [
        {
            "Action": "imm:*",
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

ワイルドカード文字を使用してアクセスを許可する

RAM ポリシーはワイルドカード文字 (*) をサポートしており、バッチ権限付与に使用できます。

次のサンプルコードでは、ユーザーがすべてのリージョンで名前が imm-test-doc で始まるプロジェクトに対して読み取り操作を呼び出すことを許可します。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["imm:List*", "imm:Get*"],
            "Resource": "acs:imm:*:150910xxxxxxxxxx:project/imm-test-doc*"
        }
    ],
    "Version": "1"
}

特定のプロジェクトに対する特定のアクセス権限を付与する

次のサンプルコードは、以下の権限を付与します。

ListProjects 操作を呼び出す。
中国 (上海) リージョンの [imm-test-doc-proj] プロジェクト内のドキュメントのフォーマットを変換するために CreateOfficeConversionTask 操作を呼び出す。

中国 (上海) リージョンの [imm-test-media-proj] プロジェクトのデータに対して CreateFigureClusteringTask および CreateFigureClustersMergingTask 操作を呼び出す。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["imm:ListProjects"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:CreateOfficeConversionTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj"
        }
    ],
    "Version": "1"
}

特定のデータセットに対する特定のアクセス権限を付与する

次のサンプルコードは、以下の権限を付与します。

ListDatasets 操作を呼び出す。
中国 (上海) リージョンの [imm-test-media-proj] プロジェクトの [dataset1] データセットに対して IndexFileMeta 操作を呼び出す。
中国 (上海) リージョンの [imm-test-media-proj] プロジェクトの [dataset1] データセットに対して CreateFigureClusteringTask および CreateFigureClustersMergingTask 操作を呼び出す。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": ["imm:ListDatasets"],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:IndexFileMeta"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-doc-proj/dataset/dataset1"
        },
        {
            "Effect": "Allow",
            "Action": ["imm:CreateFigureClusteringTask", "imm:CreateFigureClustersMergingTask"],
            "Resource": "acs:imm:cn-shanghai:150910xxxxxxxxxx:project/imm-test-media-proj/dataset/dataset1"
        }
    ],
    "Version": "1"
}