このトピックでは、Resource Access Management (RAM) ユーザーを作成し、権限を付与して、ご利用のクラウドリソースに対して詳細なアクセスの制御を行う方法について説明します。
RAM ユーザーを使用する理由
Alibaba Cloud アカウントは、Linux のルートユーザーに相当する、最も高い権限を持つプリンシパルです。企業内の複数の従業員がクラウドリソースで共同作業を行う必要がある場合、ご利用の Alibaba Cloud アカウントの下に複数の RAM ユーザーを作成できます。その後、各ユーザーがタスクを実行するために必要な最小限の権限を割り当てることができます。
項目 | Alibaba Cloud アカウント | RAM ユーザー |
ID ロール | リソースのオーナー。すべての資産に対する完全な所有権と最高の権限を持ちます。 | リソースとサービスのユーザー。権限は Alibaba Cloud アカウントによって付与されます。RAM ユーザーは通常、特定の人またはアプリケーションに対応します。 |
クラウドリソースの所有 | はい | いいえ。リソースは Alibaba Cloud アカウントによって所有されます。 |
デフォルトの権限 | すべての権限。制限はできません。 | デフォルトでは権限はありません。Alibaba Cloud アカウントから権限を付与される必要があります。 |
推奨される使用方法 | 権限付与、支払い、アカウント管理などの主要な管理操作にのみ使用します。 | 日常の開発、O&M、デプロイ、その他のタスク。 |
操作手順
クイックスタート機能を使用して、監査管理者権限を持つ RAM ユーザーを作成します。
作成した RAM ユーザーとして RAM コンソールにログインし、初期設定を完了します。
ステップ 1:RAM ユーザーの作成
ユーザーのクイック作成と権限付与
Alibaba Cloud アカウントを使用して RAM コンソールにログインします。
[概要] ページで、[クイックスタート] タブをクリックします。[クラウド機能ユーザー] セクションで、[すべてのワークフローを表示] をクリックし、ワークフローを選択します。
このトピックでは、[監査管理者] ワークフローを例として説明します。[監査管理者] は、Cloud Config、ActionTrail、および Simple Log Service (SLS) へのフルアクセス権を持ちます。また、すべての Alibaba Cloud リソースのステータスをクエリすることもできます。
パラメーターを表示または変更します。
すべてのプリセットパラメーターを表示できますが、変更できるのは一部のみです。変更可能なパラメーターはコンソールに表示されます。
[実行] をクリックします。
設定が完了したら、RAM ユーザーのユーザー名とパスワードを保存します。
クイックスタート機能で作成した RAM ユーザーの構成は変更できます。
RAM ユーザーを手動で作成して権限を付与するには、「RAM ユーザーの作成」および「RAM ユーザーへの権限付与」をご参照ください。
RAM ユーザーのログインサフィックスの設定 (推奨)
RAM ユーザーのデフォルトのログイン名は <UserName>@<AccountAlias>.onaliyun.com です。このフォーマットでは、<AccountAlias>.onaliyun.com は Alibaba Cloud アカウントのデフォルトのログインサフィックスであり、<AccountAlias> はアカウントエイリアスです。デフォルトでは、アカウントエイリアスは Alibaba Cloud アカウントのアカウント ID です。RAM ユーザーのログインプロセスを簡素化するために、ご利用の Alibaba Cloud アカウントに覚えやすいエイリアスを設定することを推奨します。このエイリアスは、ログイン名に含まれるデフォルトの 16 桁のアカウント ID を置き換えます。最良の結果を得るために、RAM ユーザーを作成する前にこのエイリアスを設定してください。
デフォルトのログインサフィックスを変更するには、次の手順に従います:
Alibaba Cloud アカウントを使用して RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[設定] をクリックします。[設定] ページで、[ドメイン] をクリックします。次に、デフォルトドメイン名の [操作] 列にある [編集] をクリックします。
Alibaba Cloud アカウントまたは RAM 管理者のみが、アカウントエイリアスとログインサフィックスを設定または変更できます。
エイリアスを設定すると、すぐに有効になります。新しく作成されるすべての RAM ユーザーのログイン名は、デフォルトでこのエイリアスを使用します。
ステップ 2:RAM ユーザーとしてのログイン
RAM ユーザーは、次のリンクを使用してコンソールにログインできます。専用ログイン URL を使用すると、アカウントのデフォルトのログインサフィックスを入力する必要がありません。
一般的なログイン URL
新しく作成した RAM ユーザーを使用して、Alibaba Cloud 管理コンソールにログインします。
説明RAM ユーザーのログインページは、Alibaba Cloud アカウントのログインページとは異なります。詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログイン」をご参照ください。
専用ログイン URL
RAM コンソールにログインします。[概要] ページで、RAM ユーザーのログイン URL を確認できます。この URL を使用すると、アカウントの [デフォルトのログインサフィックス] を入力せずに Alibaba Cloud 管理コンソールにログインできます。
[RAM ユーザーログイン] ページで、RAM ユーザーのユーザー名を入力し、[次へ] をクリックします。
RAM ユーザーのログインパスワードを入力し、[ログイン] をクリックします。
初めてログインする際には、多要素認証 (MFA) デバイスをバインドする必要があります。その後のログインでは、MFA コードの入力を求められます。
RAM ユーザーのパスワードのリセット:クイックスタート機能で作成された RAM ユーザーは、初回ログイン時にパスワードをリセットする必要があります。
ステップ 3:RAM ユーザーの権限の確認
監査管理者は、Cloud Config、ActionTrail、および SLS へのフルアクセス権を持ち、すべての Alibaba Cloud リソースのステータスをクエリできます。このセクションでは、[ActionTrail] と [RAM] を例として使用し、権限が付与されたことを確認します。
RAM ユーザーとしてコンソールにログインした後、右上隅の [プロフィール画像] にカーソルを合わせます。すると、RAM ユーザーの情報を表示できます。
ActionTrail コンソールに移動し、操作を実行します。
たとえば、左側のナビゲーションウィンドウで、 を選択して、すべてのサービスのイベントレコードを表示します。
RAM コンソールに移動します。
左側のナビゲーションウィンドウで、 を選択すると、すべての RAM ユーザーを表示できます。
RAM ユーザーの作成の手順を繰り返します。「アクセス拒否」のエラーメッセージが表示されます。
トラブルシューティング
RAM ユーザーがリソースにアクセスしようとしたときにアクセス拒否エラーが発生した場合は、「アクセス拒否エラーのトラブルシューティング方法」をご参照ください。