Alibaba Cloudアカウントとクラウドリソースのセキュリティを確保するため、Alibaba cloudアカウントを使用してObject Storage Service (OSS) にアクセスしないでください。 RAMユーザーとRAMロールを含むRAM IDを使用してOSSにアクセスすることを推奨します。
RAMユーザー
RAMユーザーは、Alibaba Cloudアカウント、または管理者権限を持つRAMユーザーまたはRAMロールによって作成できます。 RAMユーザーは、RAMユーザーが必要な権限を持っている場合にのみ、コンソールへのログインまたはAlibaba Cloudアカウント内のAlibaba Cloudリソースへのアクセスが許可されます。
次の項目に注意することをお勧めします。
Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理者権限を付与します。 次に、RAMユーザーを使用して、他のRAMユーザーを作成および管理できます。
個人用のRAMユーザーとプログラム用のRAMユーザーを分離します。
RAMコンソールまたはAPI操作を使用してRAMユーザーを作成できます。 RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。 API操作を呼び出す場合は、AccessKeyペアを指定する必要があります。 人的エラーを防ぐために、個人用のRAMユーザーとプログラム用のRAMユーザーを分離することをお勧めします。 RAMコンソールを使用する場合は、セキュリティを強化するために多要素認証 (MFA) を有効にすることを推奨します。
最小権限の原則に基づいて、RAMユーザーに権限を付与します。
最小特権権限とは、操作を実行するために必要な最小限の権限を指します。 最小権限権限は、データのセキュリティを向上させ、権限の悪用を防ぎます。
AccessKey IDまたはAccessKey secretをコードに埋め込まないでください。 そうしないと、AccessKeyペアが漏洩し、アカウント内のすべてのリソースにセキュリティリスクが発生する可能性があります。 Security Token Service (STS) トークンを使用するか、環境変数を設定してアクセス許可を取得することを推奨します。
RAMユーザーのシングルサインオン (SSO) を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。
関連操作
RAMユーザーグループ
Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合、RAMユーザーをグループ化して権限管理を容易にすることができます。 たとえば、同じRAMユーザーグループ内のRAMユーザーに同じ権限を付与できます。 次の項目に注意することをお勧めします。
最小権限の原則に基づいて、RAMユーザーグループに権限を付与します。
RAMユーザーの作業義務が変更された場合、RAMユーザーグループからRAMユーザーを削除します。
RAMユーザーがRAMユーザーグループの権限を必要としなくなった場合は、RAMユーザーグループからRAMユーザーを削除します。
関連操作
RAMロール
RAMロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。
次の項目に注意することをお勧めします。
RAMユーザーの作成後に、RAMユーザーの信頼できるエンティティを頻繁に変更しないでください。 RAMユーザーの信頼できるエンティティを変更すると、権限の損失が発生する可能性があります。 信頼できるエンティティを追加すると、特権のエスカレーションによりセキュリティリスクが発生する可能性があります。 変更をRAMユーザーに適用する前に、変更が完全にテストされていることを確認してください。
信頼済みエンティティに権限が付与されると、信頼済みエンティティはAssumeRole操作を呼び出してSTSトークンを取得できます。これを使用してRAMロールを引き受けることができます。 詳細については、「AssumeRole」をご参照ください。 STSトークンは、限られた期間のみ有効です。 セキュリティリスクを軽減するために、有効期間を適切な値に設定することを推奨します。
説明STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。 セキュリティリスクを軽減するために、RAMロールに適切なセッション期間を指定することを推奨します。
SSO for RAMロールを有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。