Resource Access Management:用語

期間

説明

Alibaba Cloud アカウント

Alibaba Cloudサービスを使用する前に、Alibaba Cloudアカウントを作成する必要があります。 Alibaba Cloudアカウントは、Alibaba Cloudリソースの所有者です。 Alibaba Cloudアカウントは、自身が所有するすべてのリソースに対して課金されます。 Alibaba Cloudアカウントは、リソースを完全に制御できます。

デフォルトでは、Alibaba CloudアカウントのみがAlibaba Cloudリソースにアクセスできます。 他のユーザーは、Alibaba Cloudアカウントによって明示的に承認された後にのみリソースにアクセスできます。 Alibaba Cloudアカウントは、オペレーティングシステムの管理者またはルートユーザーに似ています。

Alibaba Cloudアカウントのセキュリティを確保するため、Alibaba Cloudアカウントを使用してAlibaba Cloud管理コンソールにログインしたり、Alibaba CloudアカウントのAccessKeyペアを作成したりしないことを推奨します。 Alibaba CloudアカウントのRAMユーザーを作成し、RAMユーザーに管理者権限を付与することを推奨します。 その後、RAMユーザーを使用してリソースを管理できます。

アカウント管理者

アカウント管理者には、アカウントのすべてのリソースを管理する権限があります。 アカウント管理者は、Alibaba CloudアカウントまたはAdministratorAccessポリシーがアタッチされているRAMユーザーです。 RAMユーザーをアカウント管理者として使用することを推奨します。 詳細については、「アカウント管理者の作成」をご参照ください。

RAM管理者

RAM管理者は、RAM管理者のRAMリソースを管理する権限を持っています。 RAM管理者は、Alibaba CloudアカウントまたはAliyunRAMFullAccessポリシーがアタッチされているRAMユーザーです。 RAMユーザーをRAM管理者として使用することを推奨します。

アイデンティティ

RAMには、RAMユーザー、RAMユーザーグループ、RAMロールの3種類のIDがあります。 RAMユーザーとRAMユーザーグループは物理IDです。 RAMロールは仮想IDです。

defaultドメイン名

Alibaba Cloudアカウントの一意の識別子。 Alibaba Cloudは、各Alibaba Cloudアカウントにデフォルトドメイン名を割り当てます。 デフォルトドメイン名の形式は <AccountAlia s>.onaliyun.comです。 <AccountAlias> は、Alibaba Cloudアカウントのエイリアスを示します。 この一意の識別子は、RAMユーザーのログインとシングルサインオン (SSO) に使用できます。

詳細については、「デフォルトドメイン名の管理」をご参照ください。

アカウントのエイリアス

Alibaba Cloudアカウントのエイリアス。 アカウントエイリアスは、エンタープライズエイリアスとも呼ばれます。 アカウントエイリアスのデフォルト値は、Alibaba CloudアカウントのIDです。 デフォルトドメイン名の <AccountAlias> の値は、アカウントエイリアスです。 デフォルトのドメイン名は、アカウントエイリアスによって異なります。 RAMユーザーがAlibaba Cloud管理コンソールにログインすると、アカウントエイリアスとデフォルトドメイン名の両方を使用できます。

企業がAlibaba Cloudアカウントのエイリアスをcompany1に設定した場合、Alibaba Cloudアカウントに属するRAMユーザーaliceはalice @ company1を使用してAlibaba Cloud管理コンソールにログインできます。

詳細については、「デフォルトドメイン名の管理」をご参照ください。

ドメインエイリアス

デフォルトのドメイン名を置き換えるために使用できるカスタムドメイン名。 カスタムドメイン名はパブリックに解決可能である必要があります。 ドメインエイリアスは、デフォルトドメイン名のエイリアスです。

詳細については、「ドメインエイリアスの作成」をご参照ください。

RAM ユーザー

固定IDと資格情報を持つ物理ID。 RAMユーザーは、人またはアプリケーションを表します。 RAMユーザーの特徴は次のとおりです。

• Alibaba Cloudアカウントは複数のRAMユーザーを作成できます。 RAMユーザーは、企業内の従業員、システム、およびアプリケーションを表すために使用できます。

• RAM ユーザーはリソースを所有しません。 RAMユーザーによって生成された料金は、RAMユーザーが属するAlibaba Cloudアカウントに請求されます。 RAM ユーザーは個別の請求書を受け取らず、支払いもできません。

• RAMユーザーは、自分が所属するAlibaba Cloudアカウントにのみ表示されます。

• RAMユーザーがAlibaba Cloud管理コンソールにログインするか、操作を呼び出す前に、Alibaba Cloudアカウントによって承認されている必要があります。 権限付与後、RAMユーザーはAlibaba Cloudアカウントが所有するリソースを管理できます。

詳細については、「RAM ユーザーの作成」をご参照ください。

password

Alibaba Cloud管理コンソールへのログインに使用されるID資格情報。

詳細については、「RAMユーザーのログインパスワードの変更」をご参照ください。

AccessKey ペア

AccessKeyペアは、Alibaba Cloudによってユーザーに提供される永続的なアクセス資格情報です。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。

• AccessKey ID は、ユーザーの識別に使用されます。

• Access Key Secret は、ユーザーの ID の確認に使用されます。

AccessKey IDとAccessKey secretは、アルゴリズムに基づいてRAMによって生成されます。 Alibaba Cloudは、保存および送信中にAccessKey IDとAccessKeyシークレットを暗号化します。

コンソールログオンにAccessKeyペアを使用することはできません。 API、CLI、SDK、Terraformなどの開発ツールを使用してAlibaba Cloudにアクセスする場合、開始されるリクエストには、AccessKey IDと、AccessKeyシークレットを使用してリクエストを暗号化するために生成される署名が含まれます。 この場合、AccessKeyペアはID検証とリクエストの有効性検証に使用されます。

詳細については、「AccessKey の作成」をご参照ください。

多要素認証

ユーザー名とパスワードに加えて、追加の保護層を追加するセキュリティ強化。 多要素認証 (MFA) は、アカウントのセキュリティを強化します。 RAMユーザーに対してMFAが有効になっている場合、RAMユーザーがAlibaba Cloud管理コンソールにログインするときに、RAMユーザーは次の操作を実行する必要があります。

1. アカウントのユーザー名とパスワードを入力します。

2. 仮想MFAデバイスによって生成される確認コードを入力します。 または、U2F認証に合格します。

詳細については、「Alibaba CloudアカウントへのMFAデバイスのバインド」および「RAMユーザーへのMFAデバイスのバインド」をご参照ください。

RAMユーザーグループ

RAMユーザーのグループを含む物理ID。 RAMユーザーグループを作成して、RAMユーザーを分類および承認できます。 これにより、RAMユーザーと権限の管理が簡素化されます。

• RAMユーザーの権限が変更された場合、必要な権限を持つRAMユーザーグループにRAMユーザーを移動するだけで済みます。 これは他のRAMユーザーには影響しません。

  詳細については、「ユーザーグループの作成」をご参照ください。

• RAMユーザーグループの権限が変更された場合は、そのグループにアタッチされているポリシーのみを変更する必要があります。 ポリシーの変更は、RAMユーザーグループ内のすべてのRAMユーザーに適用されます。

  詳細については、「RAMユーザーグループへの権限付与」をご参照ください。

RAM ロール

ポリシーをアタッチできる仮想ID。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 信頼できるエンティティがRAMロールを引き受けると、信頼できるエンティティはSTS (Security Token Service) トークンを取得し、STSトークンを使用してRAMロールとしてAlibaba Cloudリソースにアクセスできます。

RAMロールは、信頼できるエンティティに基づいて次のタイプに分類されます。

• Alibaba Cloudアカウント: このタイプのRAMロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。 このタイプのRAMロールを引き受けるRAMユーザーは、信頼できるAlibaba Cloudアカウントにのみ所属できます。 信頼できるAlibaba Cloudアカウントは、現在のAlibaba Cloudアカウントまたは別のAlibaba Cloudアカウントのいずれかです。 詳細については、「信頼できるAlibaba CloudアカウントのRAMロールの作成」をご参照ください。

• Alibaba Cloudサービス: このタイプのRAMロールは、Alibaba Cloudサービス間のアクセスを許可するために使用されます。 このタイプのRAMロールを引き受けることができるのは、信頼できるAlibaba Cloudサービスのみです。 詳細については、「信頼できるAlibaba CloudサービスのRAMロールの作成」および「サービスにリンクされたロール」をご参照ください。

• IDプロバイダー (IdP): このタイプのRAMロールは、Alibaba Cloudと信頼できるIdPの間にSSOを実装するために使用されます。 このタイプのRAMロールを引き受けることができるのは、信頼できるIdPのユーザーのみです。 詳細については、「信頼できる IdP の RAM ロールの作成」をご参照ください。

SP

IdPのID管理機能を使用してユーザーに特定のサービスを提供するアプリケーション。 サービスプロバイダ (SP) は、IdPによって提供されるユーザ情報を使用する。 SAMLプロトコルに準拠していないOpenID Connect (OIDC) などの一部のIDシステムでは、SPはIdPの依存関係者として知られています。

IdP

ID管理サービスを提供するRAMエンティティ。 IdPは次のタイプに分類されます。

• Microsoft Active Directoryフェデレーションサービス (AD FS) やShibbolethなどのオンプレミスアーキテクチャを使用するIdP。

• Azure AD、Google Workspace、Okta、OneLoginなどのクラウドベースのアーキテクチャを使用するIdP。

SAML 2.0

エンタープライズレベルのユーザーID認証用に設計されたプロトコル。 セキュリティアサーションマークアップ言語2.0 (SAML 2.0) は、SPとIdPとの間の通信に使用される。 SAML 2.0は、企業がSSOを実装するために使用する標準です。

SSO

Alibaba Cloudは、SAML 2.0ベースおよびOIDCベースのSSOをサポートしています。 この機能は、IDフェデレーションとも呼ばれます。 Alibaba Cloudは以下のSSO方法を提供します。

• ユーザーベース SSO

  Alibaba Cloud管理コンソールへのログインに使用できるRAMユーザーIDは、SAMLアサーションに基づいて決定されます。 Alibaba Cloud管理コンソールにログインすると、RAMユーザーとしてAlibaba Cloudリソースにアクセスできます。 詳細については、「ユーザーベース SSO の概要」をご参照ください。

• ロールベース SSO

  Alibaba Cloudは、SAML 2.0ベースSSOおよびOIDCベースSSOをサポートしています。

  • SAML 2.0ベースSSO: Alibaba Cloud管理コンソールへのログインに使用できるRAMロールは、SAMLアサーションに基づいて決定されます。 Alibaba Cloud管理コンソールにログインした後、SAMLアサーションで指定されたRAMロールを使用してAlibaba Cloudリソースにアクセスできます。 詳細については、「ロールベースの SSO の概要」をご参照ください。

  • OIDCベースのSSO: IdPによって発行されたOIDCトークンを使用してAlibaba Cloud操作を呼び出し、特定のRAMロールを引き受け、OIDCトークンを使用してSTSトークンを取得できます。 次に、STSトークンを使用してAlibaba Cloudリソースにアクセスできます。 詳細については、「OIDCベースSSOの概要」をご参照ください。

メタデータファイル

IdPによって提供されるメタデータファイル。 ほとんどの場合、メタデータファイルはXML形式です。 メタデータファイルには、ログオンURL、SAMLアサーションの検証に使用される公開キー、およびアサーション形式が含まれています。

SAML アサーション

SAMLプロトコルで定義されているコア要素。 この要素は、認証要求および応答を記述する。 例えば、認証応答のSAMLアサーションは、ユーザ属性を含むことができる。

信頼

SPとIdPとの間の相互信頼関係。 ほとんどの場合、信頼関係は公開鍵と秘密鍵を使用して確立されます。 SPは、信頼できるIdPのSAMLメタデータを取得することができる。 メタデータは公開鍵を含む。 SPは、公開鍵を使用して、IdPによって発行されるSAMLアサーションの整合性を検証する。

期間

説明

permission

ユーザーが特定のAlibaba Cloudリソースに対して特定の操作を実行できるかどうかを示します。 権限には、許可と拒否が含まれます。

操作には次の2つのタイプがあります。

• リソース管理操作: Alibaba Cloudリソースのライフサイクル管理とO&M。 これらの操作は、リソースを購入するAlibaba Cloudアカウントまたは組織内のO&Mスタッフによって実行されます。 たとえば、許可されたユーザーは、ECS (Elastic Compute Service) インスタンスを作成、停止、または再起動したり、OSS (Object Storage Service) バケットを作成、変更、または削除したりできます。

• リソース使用操作: Alibaba Cloudリソースのコア機能に対する操作。 これらの操作は、組織内のR&Dスタッフまたはアプリケーションによって実行されます。 たとえば、許可されたユーザーは、ECSインスタンスのオペレーティングシステムで操作を実行したり、OSSでデータをアップロードまたはダウンロードしたりできます。

  説明

  • エラスティックコンピューティングおよびデータベースサービスの場合、リソース管理操作に対する権限はRAMを使用して管理できます。ただし、リソース使用操作に対する権限はサービスインスタンスで管理されます。 たとえば、オペレーティングシステムの権限はECSインスタンスで管理され、MySQLデータベースの権限はApsaraDB RDSインスタンスで管理されます。

  • OSSやTablestoreなどのストレージサービスの場合、リソース管理操作とリソース使用操作の両方をRAMを使用して管理できます。

policy

ポリシー構造と構文に基づいて記述される一連の権限。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 ポリシーは、一連の権限を記述する単純な言語仕様の一種です。 詳細については、「ポリシーの構造と構文」をご参照ください。

RAMでは、ポリシーはリソースエンティティです。 RAMは、次の2種類のポリシーをサポートします。

• システムポリシー: システムポリシーはAlibaba Cloudによって作成およびアップグレードされます。 システムポリシーは使用できますが、変更することはできません。

• カスタムポリシー: ビジネス要件を満たすように、カスタムポリシーを作成、変更、削除、およびアップグレードできます。

RAMユーザー、RAMユーザーグループ、およびRAMロールに1つ以上のポリシーをアタッチできます。 詳細については、「RAMユーザーへの権限の付与」、「RAMユーザーグループへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。

依頼人

特定の権限が付与される対象。 権限のあるプリンシパルは、RAMユーザー、RAMユーザーグループ、またはRAMロールです。

効果

承認効果。 効果はポリシーの基本要素です。 有効な値はAllowとDenyです。

action

特定のAlibaba Cloudリソースに対して実行される操作。 アクションはポリシーの基本要素です。 有効な値は、Alibaba Cloudサービスからの操作の名前です。

condition

権限付与の条件を設定します。 条件はポリシーの基本要素です。

resource

Alibaba Cloudサービスによって提供される管理可能なオブジェクト。 たとえば、オブジェクトはOSSバケットとECSインスタンスです。

ARN

Alibaba Cloudのリソースを識別するために使用されるグローバル一意の名前。 リソースに対する権限を付与する場合、リソースのAlibaba Cloud resource Name (ARN) をacs:<ram-code >:< region >:< account-id >:< relative-id> 形式で指定する必要があります。

• acs: Alibaba Cloudサービスの頭文字で、Alibaba cloudのパブリッククラウドを示します。

• ram-code: Alibaba Cloudサービスを示すためにRAMで使用されるコード。 詳細については、[RAMで動作するサービス] の [RAMコード] 列にリストされているコードをご参照ください。

• region: リージョンに関する情報です。 このパラメーターは、グローバルリソースのアスタリスク (*) に設定されます。 グローバルリソースには、リージョンを指定する必要なしにアクセスできます。 詳細については、「リージョンとゾーン」をご参照ください。

• account-id: Apsara StackテナントアカウントのID。 たとえば、123456789012**** と入力できます。

• relative-id: サービス関連リソースの識別子。 この要素の意味はサービスによって異なります。 relative-idフィールドの形式は、ファイルパスに似ています。 たとえば、relative-id = "mybucket/dir1/object1.jpg" はOSSオブジェクトを示します。