すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:RAMとは何ですか?

最終更新日:Oct 30, 2024

RAM (Resource Access Management) は、Alibaba Cloudが提供するサービスです。 ユーザーIDとリソースアクセス権限を管理できます。

特徴

IDと権限の集中管理

  • 集中アクセス制御

    • RAMユーザーとRAMユーザーのパスワードまたはAccessKeyペアを一元管理できます。 多要素認証 (MFA) デバイスをRAMユーザーにバインドすることもできます。

    • Alibaba CloudリソースにアクセスするためのRAMユーザーの権限を一元管理できます。

    • リソースアクセスチャネルを管理できます。 これにより、RAMユーザーは、指定された時間に安全なチャネルを使用し、指定されたIPアドレスから特定のAlibaba Cloudリソースにアクセスできます。

  • 外部IDの統合

    • シングルサインオン (SSO) を実装できます。 Alibaba Cloudは、IDプロバイダー (IdP) のユーザーベースSSOとロールベースSSOをサポートしています。 企業のIdPシステムのIDを使用してAlibaba Cloudにログインできます。 詳細については、「SSOの概要」をご参照ください。

きめ細かい権限管理と多様なポリシー

  • 多様なポリシー

    RAMは、O&Mエンジニアの要件を満たすさまざまなシステムポリシーを提供します。 システムポリシーがビジネス要件を満たせない場合は、GUIを使用して効率的にカスタムポリシーを作成できます。

  • 詳細な権限管理

    • RAMユーザー、RAMユーザーグループ、およびRAMロールに、リソースおよび操作レベルでアクセス権限を付与できます。

    • リクエストの送信元IPアドレス、日時、リソースタグに基づいて、きめ細かいリソースアクセス制御ポリシーを作成できます。

    • 権限付与範囲は、Alibaba Cloudアカウント全体または指定されたリソースグループに設定できます。

CloudSSOを使用した複数のアカウントのIDと権限の集中管理

CloudSSOはAlibaba Cloud Resource Directoryと統合され、統合されたマルチアカウントID管理とアクセス制御を提供します。 リソースディレクトリの詳細については、「リソースディレクトリの概要」をご参照ください。 CloudSSOで設定を1回設定すると、複数のAlibaba CloudアカウントのIDと権限を一元管理し、SSOアクセスを実装できます。 一元管理を実現するには、RAMから独立したCloudSSOディレクトリを使用してIDを管理します。 CloudSSOは、RAM内のシステムポリシーとカスタムポリシーの構文を再使用して、権限を管理します。 CloudSSOユーザーがリソースディレクトリ内のアカウントにアクセスすると、ユーザーはアカウントのRAMロールを引き受けてSSOアクセスを実装します。

無料

RAMは無料サービスです。 Alibaba Cloudアカウントが実名検証に合格した後、RAMを使用できます。

メリット

RAMを使用すると、従業員、システム、アプリケーション、およびその他のIDのRAMユーザーを作成および管理できます。 Alibaba Cloudリソース上のRAMユーザーの権限を管理できます。 RAMを使用すると、企業内の複数のユーザーが共同でクラウドリソースを管理する必要があるシナリオで、Alibaba Cloudアカウントとパスワードを厳密に機密に保つことができます。 RAMを使用すると、高いセキュリティを確保するために必要な最小限の権限をユーザーに付与することもできます。

一般的なシナリオ

シナリオ

説明

ユーザー管理とアクセス制御

エンタープライズAは、project-Xという名前のプロジェクトをAlibaba Cloudに移行したいと考えています。 ECS (Elastic Compute Service) インスタンス、ApsaraDB RDSインスタンス、SLB (Server Load Balancer) インスタンス、OSS (Object Storage Service) バケットなど、さまざまな種類のAlibaba Cloudリソースを購入しました。 複数の従業員がこれらのクラウドリソースを管理する必要があり、異なる従業員は職務を遂行するために異なる権限を必要とします。

エンタープライズAには次の要件があります。

  • セキュリティを確保するため、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。

  • エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与したいと考えています。 従業員には、職務を遂行するために必要な権限のみが付与されます。

  • RAMユーザーは、必要な権限が付与された後にのみリソースを管理できます。 RAMユーザーが実行するすべての操作を監査できます。

  • エンタープライズAは、RAMユーザーに付与されている権限を取り消すことができ、いつでもRAMユーザーを削除できます。

  • RAMユーザーのリソース料金は、RAMユーザーが属するAlibaba Cloudアカウントに請求されます。

モバイルアプリへの一時的な権限の付与

エンタープライズAはモバイルアプリを開発し、OSSを有効化します。 モバイルアプリはモバイルデバイスで実行されます。 これらのモバイルデバイスは企業によって制御されていません。 企業は、モバイルアプリに必要な権限を付与する必要があります。 その後、モバイルアプリはOSSにデータをアップロードしたり、OSSからデータをダウンロードしたりできます。

エンタープライズAには次の要件があります。

  • 直接データ送信: モバイルアプリはOSSにデータを直接アップロードまたはOSSからデータをダウンロードします。 企業のアプリサーバーは、モバイルアプリとOSSの間でデータを転送する必要はありません。

  • セキュリティ制御: AccessKeyペアはモバイルデバイスに保存されません。 モバイルデバイスはアプリユーザーによって制御され、信頼できるオペレーティング環境を提供できません。

  • リスク管理: セキュリティリスクを最小限に抑えます。 OSSへの直接アクセス中、各アプリクライアントは最小特権の原則に基づいて承認され、アクセス期間は厳密に制御されます。

RAMロールを使用してAlibaba Cloudアカウント全体に権限を付与

エンタープライズAは、ECSインスタンス、ApsaraDB RDSインスタンス、SLBインスタンス、OSSバケットなど、複数のタイプのAlibaba Cloudリソースを購入します。 企業Aは、企業Bが企業Aの特定のリソースにアクセスすることを許可したい。

エンタープライズAには次の要件があります。

  • エンタープライズAは、クラウドリソースの所有者としてのみ機能します。 エンタープライズAは、エンタープライズAの指定されたクラウドリソースのO&M操作、監視、および管理をエンタープライズBに許可できます。

  • 従業員がエンタープライズBに参加または離脱した場合、エンタープライズAは付与された権限を変更する必要はありません。 エンタープライズBは、エンタープライズAのクラウドリソースに対するきめ細かい権限をRAMユーザーに付与できます。RAMユーザーの資格情報は、従業員またはアプリケーションに割り当てることができます。

  • エンタープライズAとエンタープライズBの間の契約が終了すると、エンタープライズAはエンタープライズBからの権限を取り消すことができます。

RAMを使用してアプリケーションにAlibaba Cloudリソースへのアクセスを許可

エンタープライズAはECSインスタンスを購入し、そのECSインスタンスにアプリケーションをデプロイしたいと考えています。 アプリケーションは、他のAlibaba Cloudサービスのオペレーションを呼び出すためにAccessKeyペアを使用する必要があります。

RAMを使用したリソースグループの作成と権限付与

あるゲーム企業では、3 つのゲームプロジェクトが進行中です。 各プロジェクトにはさまざまなクラウドリソースが必要です。 エンタープライズAには、Alibaba Cloudアカウントと、Alibaba Cloudアカウントに属する100を超えるElastic Compute Service (ECS) インスタンスがあります。

エンタープライズAには次の要件があります。

  • 独立したプロジェクト管理: プロジェクトマネージャーは、独自のプロジェクトメンバーと、プロジェクトメンバーがクラウドリソースにアクセスするために必要な権限を管理できます。

  • 個別の請求書:企業の財務部門は、各プロジェクトが個別の請求書を受け取ることを求めています。

  • 共有最下位レイヤーネットワーク:企業は、クラウドリソース用の共有最下位レイヤーネットワークを必要としています。

RAMの使い方

Alibaba Cloudアカウントを作成した後、次のいずれかの方法で、RAMを使用してユーザーIDとリソースアクセス権限を管理できます。

  • RAM コンソール

    RAMはインタラクティブなwebコンソールを提供します。 RAMの機能を使用するには、RAMコンソールにログインします。

  • Alibaba Cloud SDK

    RAMは、複数のプログラミング言語用のSDKを提供します。 詳細については、「はじめに」、「IMS SDK overview」、および「概要」をご参照ください。

  • OpenAPIエクスプローラー

    OpenAPI Explorerを使用すると、API操作を取得して呼び出し、SDKサンプルコードを動的に生成できます。 詳細については、 「OpenAPI Explorer」をご参照ください。

  • Alibaba Cloud CLI

    Alibaba Cloud CLIでは、CLIを使用して操作を呼び出すことができます。 詳細については、「Alibaba Cloud CLIとは」をご参照ください。