すべてのプロダクト
Search
ドキュメントセンター

Object Storage Service:OSS ID管理

最終更新日:Mar 05, 2024

Alibaba Cloudアカウントとクラウドリソースのセキュリティを確保するため、Alibaba cloudアカウントを使用してObject Storage Service (OSS) にアクセスしないでください。 RAMユーザーとRAMロールを含むRAM IDを使用してOSSにアクセスすることを推奨します。

RAMユーザー

RAMユーザーは、Alibaba Cloudアカウント、または管理者権限を持つRAMユーザーまたはRAMロールによって作成できます。 RAMユーザーは、RAMユーザーが必要な権限を持っている場合にのみ、コンソールへのログインまたはAlibaba Cloudアカウント内のAlibaba Cloudリソースへのアクセスが許可されます。

次の項目に注意することをお勧めします。

  • Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理者権限を付与します。 次に、RAMユーザーを使用して、他のRAMユーザーを作成および管理できます。

  • 個人用のRAMユーザーとプログラム用のRAMユーザーを分離します。

    RAMコンソールまたはAPI操作を使用してRAMユーザーを作成できます。 RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。 API操作を呼び出す場合は、AccessKeyペアを指定する必要があります。 人的エラーを防ぐために、個人用のRAMユーザーとプログラム用のRAMユーザーを分離することをお勧めします。 RAMコンソールを使用する場合は、セキュリティを強化するために多要素認証 (MFA) を有効にすることを推奨します。

  • 最小権限の原則に基づいて、RAMユーザーに権限を付与します。

    最小特権権限とは、操作を実行するために必要な最小限の権限を指します。 最小権限権限は、データのセキュリティを向上させ、権限の悪用を防ぎます。

  • AccessKey IDまたはAccessKey secretをコードに埋め込まないでください。 そうしないと、AccessKeyペアが漏洩し、アカウント内のすべてのリソースにセキュリティリスクが発生する可能性があります。 Security Token Service (STS) トークンを使用するか、環境変数を設定してアクセス許可を取得することを推奨します。

  • RAMユーザーのシングルサインオン (SSO) を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。

関連操作

RAMユーザーグループ

Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合、RAMユーザーをグループ化して権限管理を容易にすることができます。 たとえば、同じRAMユーザーグループ内のRAMユーザーに同じ権限を付与できます。 次の項目に注意することをお勧めします。

  • 最小権限の原則に基づいて、RAMユーザーグループに権限を付与します。

  • RAMユーザーの作業義務が変更された場合、RAMユーザーグループからRAMユーザーを削除します。

  • RAMユーザーがRAMユーザーグループの権限を必要としなくなった場合は、RAMユーザーグループからRAMユーザーを削除します。

関連操作

RAMロール

RAMロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。

次の項目に注意することをお勧めします。

  • RAMユーザーの作成後に、RAMユーザーの信頼できるエンティティを頻繁に変更しないでください。 RAMユーザーの信頼できるエンティティを変更すると、権限の損失が発生する可能性があります。 信頼できるエンティティを追加すると、特権のエスカレーションによりセキュリティリスクが発生する可能性があります。 変更をRAMユーザーに適用する前に、変更が完全にテストされていることを確認してください。

  • 信頼済みエンティティに権限が付与されると、信頼済みエンティティはAssumeRole操作を呼び出してSTSトークンを取得できます。これを使用してRAMロールを引き受けることができます。 詳細については、「AssumeRole」をご参照ください。 STSトークンは、限られた期間のみ有効です。 セキュリティリスクを軽減するために、有効期間を適切な値に設定することを推奨します。

    説明

    STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。 セキュリティリスクを軽減するために、RAMロールに適切なセッション期間を指定することを推奨します。

  • SSO for RAMロールを有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。

関連操作