このトピックでは、RAM (Resource Access Management) を使用して、RAMのアクセスとセキュリティ設定を企業のAlibaba Cloudリソースに適用する方法について説明します。 これにより、きめ細かいアクセス制御を実装してリソース権限を管理できます。
背景情報
ワークロードをクラウドに移行すると、リソースの管理に使用される従来の組織構造や既存の方法がビジネス要件を満たさなくなる場合があります。 ワークロードをクラウドに移行すると、次のセキュリティ管理の問題が発生する可能性があります。
RAMユーザーの役割と責任は明確ではありません。
セキュリティ上の懸念から、Alibaba CloudアカウントのAccessKeyペアをRAMユーザーと共有したくない場合。
RAMユーザーはさまざまな方法でリソースにアクセスできるため、セキュリティ上のリスクが発生する可能性があります。
RAMユーザーに付与されているリソース権限は、RAMユーザーがこれらの権限を必要としなくなった場合に削除する必要があります。
解決策
上記の問題を解決するには、RAMを使用してRAMユーザーを作成し、RAMユーザーにリソースへのアクセス権限を付与します。 RAMを使用すると、RAMユーザーがAlibaba CloudアカウントのAccessKeyペアを共有できなくなります。 RAMを使用して、RAMユーザーに最小限の権限を付与することもできます。 これにより、権限管理が簡素化され、リソースのセキュリティが確保されます。
セキュリティ管理ソリューション
RAMユーザーの作成
必要なAlibaba Cloudアカウントは1つだけです。 従業員のRAMユーザーを作成できます。 その後、RAMユーザーに異なるポリシーをアタッチできます。 これにより、きめ細かいアクセス制御が保証されます。 O&Mを実行するためにAlibaba Cloudアカウントを使用する必要はありません。
詳細については、「RAM ユーザーの作成」をご参照ください。
コンソールユーザーとAPIユーザーを分離します。
RAMユーザーのコンソール操作用のログインパスワードとAPI操作用のAccessKeyペアを同時に作成しないことをお勧めします。
アプリケーションがAPI操作を呼び出してリソースにアクセスできるようにするには、アプリケーションのAccessKeyペアを作成するだけで済みます。
従業員がコンソールを使用してリソースを管理できるようにするには、従業員のRAMユーザーにログインパスワードを設定するだけです。
詳細については、「RAM ユーザーの作成」をご参照ください。
RAMユーザーの作成とグループ化
Alibaba Cloudアカウントに複数のRAMユーザーがいる場合、責任に基づいてRAMユーザーをグループ化し、グループに権限を付与できます。
詳細については、「RAMユーザーグループの作成」をご参照ください。
さまざまなRAMユーザーグループに最小限の権限を付与します。
システムポリシーをRAMユーザーまたはRAMユーザーグループにアタッチできます。 カスタムポリシーを作成し、RAMユーザーまたはRAMユーザーグループにアタッチして、きめ細かなアクセス制御を行うこともできます。 さまざまなRAMユーザーまたはRAMユーザーグループに最小限の権限を付与できます。 これにより、リソースに対するアクセス許可をより適切に管理できます。
説明簡単なシナリオでは、いくつかのRAMユーザーを作成し、RAMユーザーに必要な権限を付与できます。 複雑なシナリオでは、多数のRAMユーザーがいる可能性があります。 同じ責任を持つRAMユーザーを同じユーザーグループに追加し、そのユーザーグループに必要な権限を付与することをお勧めします。 これにより、権限管理が容易になります。
詳細については、「カスタマイズポリシーの作成」および「RAMユーザーグループへの権限付与」をご参照ください。
強力なログインパスワードポリシーを設定します。
RAMコンソールで、RAMユーザーのパスワードの最小長、必須文字、有効期間を指定するログオンパスワードポリシーを設定できます。 RAMユーザーにログインパスワードの変更を許可する場合、RAMユーザーは強力なログインパスワードを作成し、パスワードまたはAccessKeyペアを定期的にローテーションする必要があります。
詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
Alibaba CloudアカウントのMFAデバイスを有効にします。
Alibaba Cloudアカウントの多要素認証 (MFA) デバイスを有効にして、アカウントのセキュリティを強化できます。 これにより、ユーザー名とパスワードに加えて、追加の保護層が追加されます。 MFAデバイスを有効にした後、RAMユーザーがAlibaba Cloud管理コンソールにログインするときに、RAMユーザーは次の操作を実行する必要があります。
有効なユーザー名とパスワードを入力してください。
仮想MFAデバイスによって生成される確認コードを入力します。 または、U2F認証に合格します。
詳細については、「MFAデバイスをAlibaba Cloudアカウントにバインドする」をご参照ください。
RAMユーザーのSSOを有効にします。
シングルサインオン (SSO) を有効にすると、企業のすべての内部アカウントが認証されます。 これにより、RAMユーザーはAlibaba Cloudにログインし、内部アカウントを使用してのみリソースにアクセスできます。
詳細については、「SSOの概要」をご参照ください。
Alibaba CloudアカウントのAccessKeyペアは作成しないでください。
Alibaba CloudアカウントのAccessKeyペアには、ログインパスワードと同じ権限があります。 AccessKeyペアはプログラムによるアクセスに使用され、ログインパスワードはコンソールのログインに使用されます。 Alibaba Cloudアカウントには、リソースに対する完全な権限があります。 AccessKeyペアのリークによるセキュリティリスクを防ぐため、Alibaba CloudアカウントのAccessKeyペアを作成したり、AccessKeyペアを使用して日常業務を実行したりしないことを推奨します。
RAMユーザー用のAccessKeyペアを作成し、RAMユーザーを使用して毎日の操作を実行できます。
詳細については、「AccessKey の作成」をご参照ください。
ポリシーで条件要素を指定してセキュリティを強化します。
ポリシーでcondition要素を指定して、RAMユーザーが指定されたソースIPアドレスを使用してリソースにアクセスしたり、指定された期間内にリソースにアクセスしたりできるようにすることができます。
詳細については、「ポリシー要素」をご参照ください。
リソースに対する権限を管理します。
デフォルトでは、Alibaba Cloudアカウントはすべてのリソースを所有し、リソースを完全に制御できます。 Alibaba CloudアカウントのRAMユーザーはリソースを使用できますが、リソースを所有していません。 これにより、RAMユーザーが作成したインスタンスやその他のリソースを管理できます。
既存のRAMユーザーが不要になった場合は、RAMユーザーを削除して、RAMユーザーに付与されているすべての権限を取り消すことができます。
新しいRAMユーザーが必要な場合は、RAMユーザーを作成し、そのRAMユーザーのログインパスワードまたはAccessKeyペアを設定してから、RAMユーザーに必要な権限を付与できます。
詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
STSを使用してRAMロールに一時的な権限を付与します。
RAMロールには永続的なID資格情報はありません。 RAMロールは、発行されたSTS (Security Token Service) トークンを使用してAlibaba Cloudリソースにアクセスすることによってのみ引き受けられます。
詳細については、「STSとは何ですか?」をご参照ください。
結果
ワークロードをAlibaba Cloudに移行した後、ビジネス要件に基づいてこのトピックで説明されているソリューションを使用できます。 このソリューションにより、リソースを管理し、Alibaba Cloudアカウントとアセットを効果的かつ効率的に保護できます。
次のステップ
RAMを使用して、O&Mタスクを分類し、さまざまなO&M担当者 (RAMユーザー) にタスクを割り当てることができます。 詳細については、「RAMを使用したO&Mエンジニアの権限の管理」をご参照ください。