RAM (Resource Access Management) は、Alibaba Cloudが提供するサービスです。 ユーザーIDとリソースアクセス権限を管理できます。
特徴
IDと権限の集中管理
集中アクセス制御
RAMユーザーとRAMユーザーのパスワードまたはAccessKeyペアを一元管理できます。 多要素認証 (MFA) デバイスをRAMユーザーにバインドすることもできます。
Alibaba CloudリソースにアクセスするためのRAMユーザーの権限を一元管理できます。
リソースアクセスチャネルを管理できます。 これにより、RAMユーザーは、指定された時間に安全なチャネルを使用し、指定されたIPアドレスから特定のAlibaba Cloudリソースにアクセスできます。
外部IDの統合
シングルサインオン (SSO) を実装できます。 Alibaba Cloudは、IDプロバイダー (IdP) のユーザーベースSSOとロールベースSSOをサポートしています。 企業のIdPシステムのIDを使用してAlibaba Cloudにログインできます。 詳細については、「SSOの概要」をご参照ください。
きめ細かい権限管理と多様なポリシー
多様なポリシー
RAMは、O&Mエンジニアの要件を満たすさまざまなシステムポリシーを提供します。 システムポリシーがビジネス要件を満たせない場合は、GUIを使用して効率的にカスタムポリシーを作成できます。
詳細な権限管理
RAMユーザー、RAMユーザーグループ、およびRAMロールに、リソースおよび操作レベルでアクセス権限を付与できます。
リクエストの送信元IPアドレス、日時、リソースタグに基づいて、きめ細かいリソースアクセス制御ポリシーを作成できます。
権限付与範囲は、Alibaba Cloudアカウント全体または指定されたリソースグループに設定できます。
CloudSSOを使用した複数のアカウントのIDと権限の集中管理
CloudSSOはAlibaba Cloud Resource Directoryと統合され、統合されたマルチアカウントID管理とアクセス制御を提供します。 リソースディレクトリの詳細については、「リソースディレクトリの概要」をご参照ください。 CloudSSOで設定を1回設定すると、複数のAlibaba CloudアカウントのIDと権限を一元管理し、SSOアクセスを実装できます。 一元管理を実現するには、RAMから独立したCloudSSOディレクトリを使用してIDを管理します。 CloudSSOは、RAM内のシステムポリシーとカスタムポリシーの構文を再使用して、権限を管理します。 CloudSSOユーザーがリソースディレクトリ内のアカウントにアクセスすると、ユーザーはアカウントのRAMロールを引き受けてSSOアクセスを実装します。
無料
RAMは無料サービスです。 Alibaba Cloudアカウントが実名検証に合格した後、RAMを使用できます。
メリット
RAMを使用すると、従業員、システム、アプリケーション、およびその他のIDのRAMユーザーを作成および管理できます。 Alibaba Cloudリソース上のRAMユーザーの権限を管理できます。 RAMを使用すると、企業内の複数のユーザーが共同でクラウドリソースを管理する必要があるシナリオで、Alibaba Cloudアカウントとパスワードを厳密に機密に保つことができます。 RAMを使用すると、高いセキュリティを確保するために必要な最小限の権限をユーザーに付与することもできます。
一般的なシナリオ
シナリオ | 説明 |
エンタープライズAは、project-Xという名前のプロジェクトをAlibaba Cloudに移行したいと考えています。 ECS (Elastic Compute Service) インスタンス、ApsaraDB RDSインスタンス、SLB (Server Load Balancer) インスタンス、OSS (Object Storage Service) バケットなど、さまざまな種類のAlibaba Cloudリソースを購入しました。 複数の従業員がこれらのクラウドリソースを管理する必要があり、異なる従業員は職務を遂行するために異なる権限を必要とします。 エンタープライズAには次の要件があります。
| |
エンタープライズAはモバイルアプリを開発し、OSSを有効化します。 モバイルアプリはモバイルデバイスで実行されます。 これらのモバイルデバイスは企業によって制御されていません。 企業は、モバイルアプリに必要な権限を付与する必要があります。 その後、モバイルアプリはOSSにデータをアップロードしたり、OSSからデータをダウンロードしたりできます。 エンタープライズAには次の要件があります。
| |
エンタープライズAは、ECSインスタンス、ApsaraDB RDSインスタンス、SLBインスタンス、OSSバケットなど、複数のタイプのAlibaba Cloudリソースを購入します。 企業Aは、企業Bが企業Aの特定のリソースにアクセスすることを許可したい。 エンタープライズAには次の要件があります。
| |
エンタープライズAはECSインスタンスを購入し、そのECSインスタンスにアプリケーションをデプロイしたいと考えています。 アプリケーションは、他のAlibaba Cloudサービスのオペレーションを呼び出すためにAccessKeyペアを使用する必要があります。 | |
あるゲーム企業では、3 つのゲームプロジェクトが進行中です。 各プロジェクトにはさまざまなクラウドリソースが必要です。 エンタープライズAには、Alibaba Cloudアカウントと、Alibaba Cloudアカウントに属する100を超えるElastic Compute Service (ECS) インスタンスがあります。 エンタープライズAには次の要件があります。
|
RAMの使い方
Alibaba Cloudアカウントを作成した後、次のいずれかの方法で、RAMを使用してユーザーIDとリソースアクセス権限を管理できます。
RAM コンソール
RAMはインタラクティブなwebコンソールを提供します。 RAMの機能を使用するには、RAMコンソールにログインします。
Alibaba Cloud SDK
RAMは、複数のプログラミング言語用のSDKを提供します。 詳細については、「はじめに」、「IMS SDK overview」、および「概要」をご参照ください。
OpenAPIエクスプローラー
OpenAPI Explorerを使用すると、API操作を取得して呼び出し、SDKサンプルコードを動的に生成できます。 詳細については、 「OpenAPI Explorer」をご参照ください。
Alibaba Cloud CLI
Alibaba Cloud CLIでは、CLIを使用して操作を呼び出すことができます。 詳細については、「Alibaba Cloud CLIとは」をご参照ください。