ID は、システム内でユーザーを一意に識別するものです。認証情報は、ユーザーの ID を検証するために使用できる情報の集合です。権限付与は、ID が検証されたユーザーに対して、特定のリソースに対する権限を付与するプロセスです。ID、認証情報、および権限付与を使用して、ユーザー ID のセキュリティを確保し、リソースへのユーザーアクセスを制御できます。
アイデンティティ
ID は、システム内でユーザーを一意に識別するものです。システムは、ユーザーの ID に基づいてそのユーザーの権限を決定します。Alibaba Cloud は、Alibaba Cloud アカウント、Resource Access Management (RAM) ユーザー、RAM ロールという種類の ID をサポートしています。
Alibaba Cloud アカウント
Alibaba Cloud アカウントは、Alibaba Cloud リソースの所有権、およびリソース使用量の計量と課金の基本エンティティです。Alibaba Cloud アカウントは、アカウント内のすべてのリソースの使用量に対して課金され、リソースに対するすべての権限を持ちます。Alibaba Cloud アカウントを使用する必要があるシナリオを除き、RAM ユーザーとして、または RAM ロールを偽装して Alibaba Cloud 管理コンソールにログインし、API 操作を呼び出すことを推奨します。
RAM ユーザー
固定の ID と認証情報を持つ物理的な ID です。RAM ユーザーは、個人またはアプリケーションを表します。詳細については、「RAM ユーザーの概要」をご参照ください。
RAM ロール
RAM ロールは、ポリシーをアタッチできる仮想 ID です。RAM ユーザーとは異なり、RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な認証情報がありません。RAM ロールは、信頼できるエンティティによって偽装された後にのみ使用できます。信頼できるエンティティが RAM ロールを偽装すると、その信頼できるエンティティは Security Token Service (STS) トークンを取得し、その STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。
たとえば、Alibaba Cloud アカウント A が RAM ロール a_rr1 を作成し、その RAM ロールに Object Storage Service (OSS) に対する
FullAccess権限を付与し、その RAM ロールを Alibaba Cloud アカウント B の RAM ユーザー b_ru1 に割り当てます。これにより、開発者は RAM ユーザー b_ru1 としてコンソールにログインし、RAM ロール a_rr1 を偽装することでアカウント A の OSS リソースを管理できます。詳細については、「RAM ロールの概要」をご参照ください。
認証情報
認証情報は、ユーザーの ID を検証するために使用できる情報の集合です。システムにログインする際には、有効な認証情報を提供して ID 認証を完了する必要があります。Alibaba Cloud で一般的に使用される認証情報の種類は次のとおりです:
Alibaba Cloud アカウントまたは RAM ユーザーの AccessKey ペア。AccessKey ペアは永続的に有効です。AccessKey ID と AccessKey Secret で構成されます。
警告Alibaba Cloud アカウントの AccessKey ペアは、アカウント内のすべてのリソースへのフルアクセス権を持ちます。AccessKey ペアの漏洩は、Alibaba Cloud アカウント内のリソースに重大な脅威をもたらします。RAM ユーザーの AccessKey ペアを使用し、定期的に AccessKey ペアをローテーションすることを推奨します。RAM ユーザーの AccessKey ペアを作成する方法については、「AccessKey ペアの作成」をご参照ください。
RAM ロールの Security Token Service (STS) トークン。STS トークンは一時的な認証情報です。STS トークンの有効期間とアクセス権限を指定できます。詳細については、「STS とは」をご参照ください。
説明STS トークンには有効期間があります。有効期限が切れた後は、STS トークンを更新する必要があります。
ベアラートークン。ID 認証と権限付与に使用されます。Cloud Call Center (CCC) のみで、ベアラートークンを使用して Credentials クライアントを初期化できます。ベアラートークンを使用するには、Configure Authentication Mode パラメーターに BearerToken を選択します。
認証情報の漏洩は、クラウドリソースとビジネスに重大な脅威をもたらします。日常の O&M では、認証情報のセキュリティに特に注意してください。詳細については、「認証情報のセキュリティソリューション」をご参照ください。
権限付与
権限付与は、システム管理者またはリソース所有者がユーザーにリソースへのアクセス権限を付与するプロセスです。システムがユーザーの ID を検証した後、その権限に基づいてユーザーが特定の操作を実行できるかどうかを決定します。
各 Alibaba Cloud API 操作を呼び出すには、特定の最小権限が必要です。API 操作を呼び出す前に、必要な権限があることを確認してください。[OpenAPI Explorer] の API 操作の [API Docs] ページで、API 操作に必要な最小権限を確認できます。次の図は、Elastic Compute Service (ECS) の RunInstances 操作の権限付与情報を示しています。
Alibaba Cloud アカウント
Alibaba Cloud アカウントは、アカウント内のすべてのクラウドリソースに対するすべての権限を持ちます。Alibaba Cloud アカウントに権限を付与する必要はなく、Alibaba Cloud アカウントの権限は変更できません。ただし、Alibaba Cloud アカウントがリソースディレクトリに属している場合、そのアカウントはリソースディレクトリのアクセス制御ポリシーによって制限されることがあります。詳細については、「概要」をご参照ください。
RAM ユーザー
API 操作の [API Docs] ページに表示される権限を RAM ユーザーに付与できます。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
RAM ロール
RAM ロールへの権限付与は、RAM ユーザーの場合と比べて追加のステップが必要です。
信頼できるエンティティを指定します。Alibaba Cloud アカウント、RAM ユーザー、または別の RAM ロールを RAM ロールの信頼できるエンティティとして指定できます。
必要な権限を付与します。詳細については、「RAM ロールの概要」をご参照ください。
RAM ロールに権限を付与する際は、次のシナリオに注意してください:
シナリオ 1: 権限付与チェーン
たとえば、アカウント A の RAM ユーザー aRamUser1 がアカウント B の RAM ロール bRamRole1 を偽装する権限を持ち、アカウント B の RAM ロール bRamRole1 がアカウント C の RAM ロール cRamRole1 を偽装する権限を持つとします。アカウント A の RAM ユーザー aRamUser1 はアカウント C の RAM ロール cRamRole1 を偽装する権限を直接持っていませんが、RAM ロール cRamRole1 を偽装する権限を持つ RAM ロール bRamRole1 を偽装することで、アカウント C のリソースにアクセスできます。これは権限付与チェーン効果と呼ばれます。
シナリオ 2: 暗黙的な権限付与
Alibaba Cloud アカウント内で RAM ロールを作成する際に、現在の Alibaba Cloud アカウントを信頼できるエンティティとして選択した場合、その Alibaba Cloud アカウント内で
assumeRole権限を持つすべての RAM ユーザーまたは RAM ロールは、デフォルトでその RAM ロールを偽装することが許可されます。その RAM ロールに高い権限が付与されている場合、assumeRole権限しか持たないすべての RAM ユーザーまたは RAM ロールが、これらの高い権限を取得できてしまいます。