すべてのプロダクト
Search
ドキュメントセンター

MaxCompute:RAM ユーザーの準備

最終更新日:Nov 21, 2024

プロジェクトデータのセキュリティを確保するために、RAM (Resource Access Management) ユーザーを作成し、MaxComputeプロジェクトに参加している他のメンバーにRAMユーザーの資格情報を割り当てることを推奨します。 これにより、MaxComputeプロジェクトに参加する担当者の権限を厳密に制御できます。 このトピックでは、RAMユーザーを作成する方法について説明します。

前提条件

Alibaba Cloud アカウントが作成済みであること。

Alibaba Cloudアカウントの作成方法の詳細については、「Alibaba Cloudアカウントの作成」をご参照ください。

注意事項

  • RAMユーザーはAlibaba Cloudアカウントに属しています。 彼らはリソースを所有せず、個別に請求されません。

  • RAMユーザーが負担するすべての料金は、Alibaba Cloudアカウントが支払う必要があります。

手順

  1. ステップ1: RAMユーザーの作成

    Alibaba Cloudアカウントを使用してRAMユーザーを作成します。 詳細については、「RAM」をご参照ください。

  2. ステップ2: AccessKeyペアの作成

    Alibaba Cloudアカウントを使用して、RAMユーザーのAccessKeyペアを作成します。 これにより、RAMユーザーが送信したジョブを正常に実行できます。

  3. ステップ3 (オプション): RAMユーザーに権限を付与

    • RAMユーザーがDataWorksでプロジェクトを作成できるようにするには、Alibaba Cloudアカウントを使用してAliyunDataWorksFullAccessポリシーをRAMユーザーにアタッチする必要があります。

    • RAMユーザーがMaxCompute V2.0コンソールでプロジェクトとクォータを管理できるようにするには、Alibaba Cloudアカウントを使用してAliyunMaxComputeFullAccessポリシーまたはカスタムRAMポリシーをRAMユーザーにアタッチする必要があります。 詳細は、「RAM権限」をご参照ください。

  4. ステップ4: RAMユーザーの資格情報を別のユーザーに割り当てる

    作成したRAMユーザーの資格情報を他のユーザーに割り当てます。

ステップ1: RAMユーザーの作成

  1. Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. [ユーザー] ページで、[ユーザーの作成] をクリックします。

  4. [ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。

    • ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。

    • 表示名: 表示名の長さは最大128文字です。

    • タグ: editアイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。

    説明

    ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。

  5. アクセスモードセクションで、コンソールアクセスを選択します。

    • コンソールアクセス: このオプションを選択した場合、ログオンセキュリティ設定を完了する必要があります。 これらの設定では、システム生成またはカスタムのログインパスワードを使用するかどうか、次回のログイン時にパスワードをリセットする必要があるかどうか、および多要素認証 (MFA) を有効にするかどうかを指定します。

    • Open API Access: [Open API Access] を選択すると、RAMユーザーのAccessKeyペアが自動的に生成されます。 RAMユーザーは、API操作を呼び出すか、他の開発ツールを使用してAlibaba Cloudリソースにアクセスできます。

  6. OKをクリックします。

  7. ユーザーの作成ページで、CSVファイルのダウンロードをクリックして、または既存のRAMユーザーを見つけて、アクション列のコピーをクリックして、RAMユーザーのログインユーザー名とパスワードを保存します。

ステップ2: AccessKeyペアの作成

説明
  • RAMユーザーにAccessKeyペアを管理する権限を付与すると、RAMユーザーはRAMコンソールでAccessKeyペアを作成できます。 AccessKeyペアの作成方法の詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。

  • RAMユーザーに対して最大2つのAccessKeyペアを作成できます。

  1. RAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザーを選択します。

  3. ユーザーページで、管理するRAMユーザーのユーザー名をクリックします。

  4. 認証タブのAccessKeyセクションでAccessKeyの作成をクリックします。

    image

  5. AccessKeyの作成メッセージで、AccessKey IDとAccessKey secretを表示します。

    [CSVファイルのダウンロード] をクリックしてAccessKeyペアをダウンロードするか、[コピー] をクリックしてAccessKeyペアをコピーします。

    image

  6. OKをクリックします。

ステップ3 (オプション): RAMユーザーに権限を付与する

  1. ユーザーページで必要なRAMユーザーを見つけ、アクション列で権限の追加クリックします。

    image

    複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

  2. 権限付与パネルで、RAMユーザーに権限を付与します。

    1. [リソーススコープ] パラメーターを設定します。

    2. Principalパラメーターを設定します。

      Principalは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。

    3. ポリシーパラメーターを設定します。

      ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。

      • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

        説明

        システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

      • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。

    4. [権限付与] をクリックします。

  3. [権限付与ポリシー名] 列のAliyunDataWorksFullAccessポリシーをクリックして、選択した権限のリストにこの権限を追加します。

    説明

    RAMユーザーが後でMaxComputeを有効化する必要がある場合、Alibaba CloudアカウントはAliyunBSSOrderAccessポリシーをRAMユーザーにアタッチする必要があります。

  4. 閉じるをクリックします。

ステップ4: RAMユーザーの資格情報を別のユーザーに割り当てる

RAMユーザーの資格情報を別のユーザーに割り当てるには、RAMユーザーの次の情報をユーザーに提供する必要があります。

  • RAMユーザーのアカウント情報。

    • RAMユーザーのアカウントとパスワード。ステップ1で保存したRAMユーザーのログインユーザー名とパスワードです。

    • RAMユーザーのAccessKey IDとAccessKey secret (ステップ2で作成したAccessKeyペア) 。

  • RAMユーザーのログイン方法とログインURL。

    RAMユーザーは、RAMユーザーの共通ログインURLまたはログオンポータルにアカウント情報を入力することで、Alibaba Cloud管理コンソールにログインできます。 ビジネス要件に基づいて、他のRAMユーザーにログインURLを提供できます。 詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。

  • RAMユーザーが属するAlibaba Cloudアカウントのドメイン名

    RAM コンソール にログインします。 左側のナビゲーションウィンドウで、[アイデンティティ] > [設定] を選択します。 [設定] ページで、[詳細設定] タブをクリックします。 次に、[デフォルトドメイン][ドメインエイリアス] を表示できます。

次のステップ

RAMユーザーを準備したら、MaxComputeを有効化できます。 詳細については、「MaxComputeとDataWorksの有効化」をご参照ください。