すべてのプロダクト
Search

このプロダクト

    Object Storage Service:OSS ID管理

    ドキュメントセンター

    Object Storage Service:OSS ID管理

    最終更新日:Mar 05, 2024

    Alibaba Cloudアカウントとクラウドリソースのセキュリティを確保するため、Alibaba cloudアカウントを使用してObject Storage Service (OSS) にアクセスしないでください。 RAMユーザーとRAMロールを含むRAM IDを使用してOSSにアクセスすることを推奨します。

    RAMユーザー

    RAMユーザーは、Alibaba Cloudアカウント、または管理者権限を持つRAMユーザーまたはRAMロールによって作成できます。 RAMユーザーは、RAMユーザーが必要な権限を持っている場合にのみ、コンソールへのログインまたはAlibaba Cloudアカウント内のAlibaba Cloudリソースへのアクセスが許可されます。

    次の項目に注意することをお勧めします。

    • Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに管理者権限を付与します。 次に、RAMユーザーを使用して、他のRAMユーザーを作成および管理できます。

    • 個人用のRAMユーザーとプログラム用のRAMユーザーを分離します。

      RAMコンソールまたはAPI操作を使用してRAMユーザーを作成できます。 RAMコンソールを使用する場合は、Alibaba Cloudアカウントのユーザー名とパスワードを入力する必要があります。 API操作を呼び出す場合は、AccessKeyペアを指定する必要があります。 人的エラーを防ぐために、個人用のRAMユーザーとプログラム用のRAMユーザーを分離することをお勧めします。 RAMコンソールを使用する場合は、セキュリティを強化するために多要素認証 (MFA) を有効にすることを推奨します。

    • 最小権限の原則に基づいて、RAMユーザーに権限を付与します。

      最小特権権限とは、操作を実行するために必要な最小限の権限を指します。 最小権限権限は、データのセキュリティを向上させ、権限の悪用を防ぎます。

    • AccessKey IDまたはAccessKey secretをコードに埋め込まないでください。 そうしないと、AccessKeyペアが漏洩し、アカウント内のすべてのリソースにセキュリティリスクが発生する可能性があります。 Security Token Service (STS) トークンを使用するか、環境変数を設定してアクセス許可を取得することを推奨します。

    • RAMユーザーのシングルサインオン (SSO) を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。

    関連操作

    RAMユーザーグループ

    Alibaba Cloudアカウントを使用して複数のRAMユーザーを作成する場合、RAMユーザーをグループ化して権限管理を容易にすることができます。 たとえば、同じRAMユーザーグループ内のRAMユーザーに同じ権限を付与できます。 次の項目に注意することをお勧めします。

    • 最小権限の原則に基づいて、RAMユーザーグループに権限を付与します。

    • RAMユーザーの作業義務が変更された場合、RAMユーザーグループからRAMユーザーを削除します。

    • RAMユーザーがRAMユーザーグループの権限を必要としなくなった場合は、RAMユーザーグループからRAMユーザーを削除します。

    関連操作

    RAMロール

    RAMロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。

    次の項目に注意することをお勧めします。

    • RAMユーザーの作成後に、RAMユーザーの信頼できるエンティティを頻繁に変更しないでください。 RAMユーザーの信頼できるエンティティを変更すると、権限の損失が発生する可能性があります。 信頼できるエンティティを追加すると、特権のエスカレーションによりセキュリティリスクが発生する可能性があります。 変更をRAMユーザーに適用する前に、変更が完全にテストされていることを確認してください。

    • 信頼済みエンティティに権限が付与されると、信頼済みエンティティはAssumeRole操作を呼び出してSTSトークンを取得できます。これを使用してRAMロールを引き受けることができます。 詳細については、「AssumeRole」をご参照ください。 STSトークンは、限られた期間のみ有効です。 セキュリティリスクを軽減するために、有効期間を適切な値に設定することを推奨します。

      説明

      STSトークンの最大有効期間は、RAMロールに指定された最長セッション期間です。 セキュリティリスクを軽減するために、RAMロールに適切なセッション期間を指定することを推奨します。

    • SSO for RAMロールを有効にして、RAMロールが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにします。

    関連操作