Resource Access Management:アクセス資格情報を使用してAPI操作を呼び出すためのベストプラクティス

ACKクラスターにデプロイされたアプリケーションを使用してRAMロールを想定する

前提条件

• RAMと連携するAlibaba Cloudサービスが使用されます。 詳細については、「RAMで動作するサービス」をご参照ください。

• RRSA機能は、Kubernetes 1.22を実行するACKクラスターのみをサポートします。 RRSA機能をサポートするACKクラスターには、ACK Basicクラスター、ACK Proクラスター、ACK Serverless Basicクラスター、ACK Serverless Proクラスター、ACK Edge Proクラスターがあります。

• Alibaba Cloud SDK V2.0がインストールされています。

• 自己管理ゲートウェイを使用するサービスの自己開発SDKはインストールされていません。

作業原理

RRSA機能を使用すると、ACKクラスター内のさまざまなアプリケーションがさまざまなRAMロールを引き受けることができます。 アプリケーションはSTSトークンを取得し、トークンを使用して特定のRAMロールを引き受け、関連するクラウドサービスにアクセスできます。 これにより、最小権限の原則が適用され、アプリケーションはAccessKeyペアを使用する必要なくAPI操作を呼び出すことができ、AccessKeyペアのリークを防止できます。

設定方法

• ACKクラスターのRRSA機能を有効にします。 詳細については、「RRSAの有効化」をご参照ください。

• ACKクラスターでRRSA機能を使用します。 詳細については、「RRSAの使用」をご参照ください。

サンプルコード

Alibaba Cloud SDK V2.0は、RRSAのOIDCトークン認証をサポートしています。 デフォルトでは、STSトークン認証をサポートし、Alibaba cloud SDK V2.0に基づいて開発されたすべてのクラウドサービスSDKは、RRSA OIDCトークン認証をサポートしています。 次の表に、サポートされているSDKのバージョンとデモを示します。

ECSでインスタンスRAMロールを想定

前提条件

• RAMと連携するAlibaba Cloudサービスが使用されます。 詳細については、「RAMで動作するサービス」をご参照ください。

• Alibaba Cloud SDK V2.0がインストールされています。

• 自己管理ゲートウェイを使用するサービスの自己開発SDKはインストールされていません。

作業原理

インスタンスのRAM (Resource Access Management) ロールをECS (Elastic Compute Service) インスタンスにアタッチできます。 ECSインスタンスは、インスタンスRAMロールのSecurity Token Service (STS) の一時的な認証情報を使用して、他のAlibaba CloudサービスのAPIにアクセスできます。 STSの一時的な資格情報は定期的に更新されます。 これにより、AccessKeyペアのセキュリティが確保され、RAMを使用したきめ細かなアクセス制御と権限管理が実装されます。

次のリストは、プロセスを説明しています。

1. アプリケーションは、ECSインスタンスメタデータにアクセスしてSTSトークンを取得します。 詳細については、「ECSインスタンスメタデータの概要」をご参照ください。

2. アプリケーションはSTSトークンを使用してクラウドリソースにアクセスします。 詳細については、「STSとは何ですか?」をご参照ください。

設定方法

インスタンスRAMロールをECSインスタンスにアタッチします。 詳細については、「インスタンスRAMロールを使用した他のAlibaba CloudサービスへのECSアクセスの付与」をご参照ください。

サンプルコード

Alibaba Cloud Credentialsは、Alibaba Cloudが開発者向けに提供する資格管理ツールです。 Alibaba Cloud Credentialsを使用して、インスタンスRAMロールをECSインスタンスに簡単にアタッチできます。 次のサンプルコードは、ECSのDescribeRegions操作を呼び出す方法の例を示しています。

開発とデバッグにSTSトークンを使用

シナリオ

企業のR&D、O&M、および製品担当者がO&M、管理、およびデバッグにAccessKeyペアを使用する場合は、ロールベースのシングルサインオン (SSO) を実装することをお勧めします。 これにより、企業のユーザーは対応するRAMロールを引き受け、STSトークンを取得して必要な操作を実行できます。

設定方法

• 単一のAlibaba Cloudアカウントを使用する場合は、ジョブの責任でユーザーにRAMロールを割り当てることを推奨します。 詳細については、「概要」をご参照ください。 ユーザーはCLIツールsaml2alibabacloudを使用して、IDプロバイダー (IdP) 側での認証後にSTSトークンを取得できます。 詳細については、「saml2alibabacloud」をご参照ください。

• 複数のAlibaba Cloudアカウントを使用する場合は、CloudSSOを使用してアカウントのSSOを設定することを推奨します。 詳細は、「SSOの設定」をご参照ください。 設定が完了すると、ユーザーはCLIを使用してCloudSSOにログインし、Alibaba Cloudリソースにアクセスできます。 詳細については、「Alibaba Cloud CLIを使用したCloudSSOおよびAlibaba Cloudリソースへのアクセス」をご参照ください。

Function ComputeでのSTSトークンの使用

シナリオ

Function Computeにデプロイされたアプリケーションが他のAlibaba Cloudリソースにアクセスする必要があり、RAMユーザーのAccessKeyペアを関連する関数でハードコードする場合、AccessKeyペアのリークが発生し、O&Mが困難になる可能性があります。 この場合、RAMロールを関数にアタッチできます。 これにより、アプリケーションはSTSトークンを使用してクラウドリソースにアクセスでき、永続的なアクセス資格情報によるセキュリティリスクが回避されます。

ソリューションアーキテクチャ

このソリューションでは、function Computeの関数RAMロールを使用して、一時的なアクセス資格情報を取得して使用します。 このソリューションでは、アクセス権限を動的に管理し、一時的に付与できます。 これにより、AccessKeyペアの長期的な公開によって引き起こされるリスクを防ぎ、システムをより安全かつ柔軟にします。 管理者は、関数のロールを設定し、ロールに権限を1回付与するだけで済みます。 その後の操作では、関数は実行時に一時的なアクセス資格情報を動的に取得して使用できます。 これにより、O&M管理が簡素化されます。

管理者は、信頼できるエンティティがFunction ComputeであるRAMロールを作成し、そのRAMロールに権限を付与します。 権限には、クラウドサービスの特定のクラウドリソースにアクセスするために必要な権限が含まれています 。 次に、管理者は作成したRAMロールをfunction Computeの関数 に関連付けます。 アプリケーションが関数コンテキストから一時的なアクセス資格情報を取得しようとすると 、function Computeは信頼できるAlibaba CloudサービスとしてAssumeRole操作を呼び出し、RAMまたはSTSからSTSトークンを取得します 。 次に、アプリケーションは取得したSTSトークンを使用して、クラウドサービスのAPI操作を呼び出すことができます 。 クラウドサービスがリクエストを処理して結果を返した後、アプリケーションは結果を受け取り、その後の操作を実行します。

設定方法

詳細については、次をご参照ください： 他のAlibaba CloudサービスにアクセスするためのFunction Compute権限の付与。

システム環境変数の設定

設定方法

ALIBABA_CLOUD_ACCESS_KEY_IDおよびALIBABA_CLOUD_ACCESS_KEY_SECRET環境変数を設定します。

• LinuxおよびmacOS

  以下のコマンドを実行します。

  export ALIBABA_CLOUD_ACCESS_KEY_ID=<access_key_id>
  export ALIBABA_CLOUD_ACCESS_KEY_SECRET=<access_key_secret>

  <access_key_id> をAccessKey IDに、<access_key_secret> をAccessKey secretに置き換えます。

• Windows

  1. 環境変数ファイルを作成し、ALIBABA_CLOUD_ACCESS_KEY_IDとALIBABA_CLOUD_ACCESS_KEY_SECRET環境変数をファイルに追加してから、ALIBABA_CLOUD_ACCESS_KEY_IDのAccessKey IDとALIBABA_CLOUD_ACCESS_KEY_SECRETのAccessKeyシークレットを指定します。

  2. Windowsオペレーティングシステムを再起動します。

Alibaba Cloud SDKのサンプルコード

Alibaba Cloud SDKを使用すると、デフォルトのアクセス資格情報を作成するための環境変数と環境変数を設定できます。 API操作を呼び出すと、システムはデフォルトのアクセス資格情報からAccessKeyペアを読み取り、AccessKeyペアを使用して認証を完了します。 次のサンプルコードは、ECSのDescribeRegions操作を呼び出す方法の例を示しています。

一般的なサンプルコード

自己管理ゲートウェイを使用するサービスの自己開発SDKの場合、Javaを使用して環境変数をロードする方法の例を次のサンプルコードに示します。

import com.aliyun.credentials.Client;
import com.aliyun.credentials.models.Config;

public class DemoTest {
    public static void main(String[] args) throws Exception{
        Config config = new Config();
        // Which type of credential you want
        config.setType("access_key");
        // AccessKeyId of your ram user
        config.setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"));
        // AccessKeySecret of your ram user
        config.setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
        Client client = new Client(config);
    }
}