Resource Access Management (RAM) ユーザーを作成し、RAMユーザーにさまざまなリソースにアクセスする権限を付与できます。 企業内の複数のユーザーが同時にリソースにアクセスする必要がある場合は、RAMを使用してユーザーに最小限の権限を割り当てることができます。 これにより、ユーザーがAlibaba Cloudアカウントのユーザー名とパスワードまたはAccessKeyペアを共有できなくなり、セキュリティリスクが軽減されます。 Alibaba Cloudは、一般的なシナリオのベストプラクティスに基づいて開発されたクイック設定方法を提供します。 このメソッドは、RAMユーザーに関連するシステムポリシーをプリセットします。 これにより、RAMユーザーを作成し、効率的にRAMユーザーに権限を付与することができます。 RAMユーザーを手動で作成し、ビジネス要件に基づいてRAMユーザーに権限を付与することもできます。
クイック設定
手順1: RAMユーザーを作成し、RAMユーザーに権限を付与する
Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。
[概要] ページで、[開始] タブをクリックします。
ビジネス要件に基づいてシナリオを選択します。
たとえば、[ネットワーク管理者] を選択できます。 ネットワーク管理者は、企業のネットワークアーキテクチャの構築と管理を担当します。 ネットワーク管理者は、ネットワーク関連サービスの有効化、購入、作成を行うことができ、Elastic Compute Service (ECS) セキュリティグループに対する権限と、ネットワークサービスに対するすべての権限を持ちます。
パラメータを表示または変更します。
すべてのパラメータを表示できますが、特定のパラメータのみを変更できます。 コンソールに表示されるパラメータが優先されます。
[実行] をクリックします。
設定の進行状況を表示します。 設定が完了したら、RAMユーザーのユーザー名とパスワードを保存します。
RAMコンソールのクイック設定方法を使用して、作成されたアカウント管理者の設定を変更できます。
手順2: RAMユーザーとしてAlibaba Cloud管理コンソールにログインします
アカウント管理者としてAlibaba Cloud管理コンソールにログインします。
説明RAMユーザーのログオンポータルは、Alibaba Cloudアカウントのログオンポータルとは異なります。 詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
[RAMユーザーログイン] ページで、アカウント管理者のユーザー名を入力し、[次へ] をクリックします。
ログインパスワードを入力し、[ログイン] をクリックします。
オプションです。 多要素認証 (MFA) を有効にする場合は、仮想MFAデバイスによって提供される確認コードを入力するか、Universal 2nd factor (U2F) 認証に合格するように設定を構成します。
手動設定
手順1: RAMユーザーの作成
Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーでRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、[ユーザーの作成] をクリックします。
[ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。
ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。
表示名: 表示名の長さは最大128文字です。
タグ:
アイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。
説明ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。
アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。
Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。
コンソールアクセス
RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。 これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。 コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。
コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。 パスワードは複雑さの要件を満たす必要があります。 詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。
パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。
MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドするか、RAMユーザーがMFAデバイスをバインドできるようにする必要があります。 詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。
OpenAPIアクセス
RAMユーザーがプログラムを表している場合は、RAMユーザーにOpenAPI Accessを選択することを推奨します。 これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。 詳細については、「AccessKeyペアの取得」をご参照ください。
重要RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 したがって、AccessKey secret はバックアップしておく必要があります。
OKをクリックします。
プロンプトに従って完全なセキュリティ検証。
手順2: (オプション) カスタムポリシーの作成
RAMは、システムポリシーとカスタムポリシーを提供します。 システムポリシーはAlibaba Cloudによって提供されており、変更することはできません。 システムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して、きめ細かいアクセス制御を実装できます。
さまざまな方法でカスタムポリシーを作成できます。 この例では、カスタムポリシーは [Visual editor] タブで作成されます。 詳細については、「カスタムポリシーの作成」をご参照ください。
管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
ポリシーページで、ポリシーの作成をクリックします。
ポリシーの作成ページで、ビジュアルエディタタブをクリックします。
ポリシーを設定し、ポリシー情報を編集する次にをクリックします。
効果セクションで、許可または拒否を選択します。
サービスセクションで、Alibaba Cloudサービスを選択します。
説明選択できるAlibaba Cloudサービスが [サービス] セクションに表示されます。
アクションセクションで、すべてのアクションまたはアクションの選択を選択します。
前の手順で選択したAlibaba Cloudサービスに基づいて設定できるアクションが表示されます。 [アクションの選択] を選択した場合は、アクションを選択する必要があります。
リソースセクションで、すべてのリソースまたは指定されたリソースを選択します。
前の手順で選択した操作に基づいて構成できるリソースが表示されます。 [指定されたリソース] を選択した場合、[リソースの追加] をクリックして、リソースの1つ以上のAlibaba Cloudリソース名 (ARN) を設定する必要があります。 [すべて一致] をクリックして、選択した各アクションのすべてのリソースを選択することもできます。
説明操作に必要なリソースの ARN は、[Required] でタグ付けされます。 Required でタグ付けされたリソースの ARN を設定することを強く推奨します。 これにより、カスタムポリシーが期待どおりに有効になります。
条件セクションで、条件の追加をクリックして条件を設定します。
条件には、Alibaba Cloud の共通条件とサービス固有の条件が含まれます。 システムにより、選択した操作と Alibaba Cloud サービスに基づいて設定可能な操作が表示されます。 条件キーを選択し、OperatorパラメーターとValueパラメーターを設定するだけです。
ステートメントの追加をクリックして上記の手順を繰り返して、複数のカスタムポリシーステートメントを設定します。
名前と説明フィールドを指定します。
カスタムポリシーの内容を確認して最適化します。
基本的な最適化
システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。
不要な条件が削除されます。
不要な配列が削除されます。
(オプション) 高度な最適化
ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。
操作と互換性のないリソースまたは条件が分割されます。
リソースが絞り込まれます。
ポリシーステートメントの重複排除またはマージが行われます。
OKをクリックします。
手順3: RAMユーザーに権限を付与
RAMユーザーに権限を付与する場合は、最小権限の原則に基づいて、必要な権限のみをRAMユーザーに付与することをお勧めします。
RAM管理者としてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで必要なRAMユーザーを見つけ、アクション列の権限の追加をクリックします。
複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。
権限付与パネルで、RAMユーザーに権限を付与します。
[リソーススコープ] パラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
ResourceGroup: 特定のリソースグループに対して権限付与が有効になります。
重要[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与する」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMユーザーです。 現在のRAMユーザーが自動的に選択されます。
Policyパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
閉じるをクリックします。
手順4: RAMユーザーとしてAlibaba Cloud管理コンソールにログインします
アカウント管理者としてAlibaba Cloud管理コンソールにログインします。
説明RAMユーザーのログオンポータルは、Alibaba Cloudアカウントのログオンポータルとは異なります。 詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
[RAMユーザーログイン] ページで、アカウント管理者のユーザー名を入力し、[次へ] をクリックします。
ログインパスワードを入力し、[ログイン] をクリックします。
オプションです。 多要素認証 (MFA) を有効にする場合は、仮想MFAデバイスによって提供される確認コードを入力するか、Universal 2nd factor (U2F) 認証に合格するように設定を構成します。