プロジェクトデータのセキュリティを確保するために、RAM (Resource Access Management) ユーザーを作成し、MaxComputeプロジェクトに参加している他のメンバーにRAMユーザーの資格情報を割り当てることを推奨します。 これにより、MaxComputeプロジェクトに参加する担当者の権限を厳密に制御できます。 このトピックでは、RAMユーザーを作成する方法について説明します。
前提条件
Alibaba Cloud アカウントが作成済みであること。
Alibaba Cloudアカウントの作成方法の詳細については、「Alibaba Cloudアカウントの作成」をご参照ください。
注意事項
RAMユーザーはAlibaba Cloudアカウントに属しています。 彼らはリソースを所有せず、個別に請求されません。
RAMユーザーが負担するすべての料金は、Alibaba Cloudアカウントが支払う必要があります。
手順
Alibaba Cloudアカウントを使用してRAMユーザーを作成します。 詳細については、「RAM」をご参照ください。
Alibaba Cloudアカウントを使用して、RAMユーザーのAccessKeyペアを作成します。 これにより、RAMユーザーが送信したジョブを正常に実行できます。
ステップ4: RAMユーザーの資格情報を別のユーザーに割り当てる
作成したRAMユーザーの資格情報を他のユーザーに割り当てます。
ステップ1: RAMユーザーの作成
Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。
ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。
表示名: 表示名の長さは最大128文字です。
タグ: アイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。
説明ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。
アクセスモードセクションで、コンソールアクセスを選択します。
コンソールアクセス: このオプションを選択した場合、ログオンセキュリティ設定を完了する必要があります。 これらの設定では、システム生成またはカスタムのログインパスワードを使用するかどうか、次回のログイン時にパスワードをリセットする必要があるかどうか、および多要素認証 (MFA) を有効にするかどうかを指定します。
Open API Access: [Open API Access] を選択すると、RAMユーザーのAccessKeyペアが自動的に生成されます。 RAMユーザーは、API操作を呼び出すか、他の開発ツールを使用してAlibaba Cloudリソースにアクセスできます。
OKをクリックします。
ユーザーの作成ページで、CSVファイルのダウンロードをクリックして、または既存のRAMユーザーを見つけて、アクション列のコピーをクリックして、RAMユーザーのログインユーザー名とパスワードを保存します。
ステップ2: AccessKeyペアの作成
RAMユーザーにAccessKeyペアを管理する権限を付与すると、RAMユーザーはRAMコンソールでAccessKeyペアを作成できます。 AccessKeyペアの作成方法の詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
RAMユーザーに対して最大2つのAccessKeyペアを作成できます。
RAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ユーザーページで、管理するRAMユーザーのユーザー名をクリックします。
認証タブのAccessKeyセクションでAccessKeyの作成をクリックします。
AccessKeyの作成メッセージで、AccessKey IDとAccessKey secretを表示します。
[CSVファイルのダウンロード] をクリックしてAccessKeyペアをダウンロードするか、[コピー] をクリックしてAccessKeyペアをコピーします。
OKをクリックします。
ステップ3 (オプション): RAMユーザーに権限を付与する
ユーザーページで必要なRAMユーザーを見つけ、アクション列で権限の追加をクリックします。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
権限付与パネルで、RAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
Principalは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
ポリシーパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
[権限付与ポリシー名] 列のAliyunDataWorksFullAccessポリシーをクリックして、選択した権限のリストにこの権限を追加します。
説明RAMユーザーが後でMaxComputeを有効化する必要がある場合、Alibaba CloudアカウントはAliyunBSSOrderAccessポリシーをRAMユーザーにアタッチする必要があります。
閉じるをクリックします。
ステップ4: RAMユーザーの資格情報を別のユーザーに割り当てる
RAMユーザーの資格情報を別のユーザーに割り当てるには、RAMユーザーの次の情報をユーザーに提供する必要があります。
RAMユーザーのアカウント情報。
RAMユーザーのログイン方法とログインURL。
RAMユーザーは、RAMユーザーの共通ログインURLまたはログオンポータルにアカウント情報を入力することで、Alibaba Cloud管理コンソールにログインできます。 ビジネス要件に基づいて、他のRAMユーザーにログインURLを提供できます。 詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
RAMユーザーが属するAlibaba Cloudアカウントのドメイン名
RAM コンソール にログインします。 左側のナビゲーションウィンドウで、[アイデンティティ] > [設定] を選択します。 [設定] ページで、[詳細設定] タブをクリックします。 次に、[デフォルトドメイン] と [ドメインエイリアス] を表示できます。
次のステップ
RAMユーザーを準備したら、MaxComputeを有効化できます。 詳細については、「MaxComputeとDataWorksの有効化」をご参照ください。