すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM を使用した企業向け Alibaba Cloud リソースのセキュリティ確保

    ドキュメントセンター

    Resource Access Management:RAM を使用した企業向け Alibaba Cloud リソースのセキュリティ確保

    最終更新日:Mar 06, 2026

    ワークロードをクラウドに移行した後、Resource Access Management (RAM) を使用して、ユーザー ID とリソースアクセス権限をきめ細かく管理できます。RAM を使用すると、従業員、システム、プログラムなどのエンティティに対して RAM ユーザーを作成および管理できます。RAM ユーザーの権限を管理して、Alibaba Cloud リソースへのアクセスを制御できます。このトピックでは、RAM を使用して企業の Alibaba Cloud リソースのセキュリティを確保するためのベストプラクティスについて説明します。

    ID 管理

    一般原則

    Alibaba Cloud アカウントのルートユーザーの使用回避

    Alibaba Cloud に登録すると、Alibaba Cloud アカウントが作成されます。個人開発者として Alibaba Cloud に登録する場合、個人の実名検証情報を追加できます。企業として Alibaba Cloud に登録する場合、企業の実名検証情報、請求先アカウント、契約情報、請求書情報を追加できます。

    デフォルトでは、Alibaba Cloud アカウントにはルートユーザーが存在します。ルートユーザーは、Alibaba Cloud アカウントのユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインします。ルートユーザーを使用すると、次のリスクが発生する可能性があります。

    • 完全な権限による高いリスク:デフォルトでは、ルートユーザーは Alibaba Cloud アカウントの完全な権限を持ちます。Alibaba Cloud アカウントのユーザー名とパスワードが漏洩した場合、リスクは非常に高くなります。

    • パスワード漏洩の可能性の高さ:複数の従業員がルートユーザーを使用できる場合、全員が Alibaba Cloud アカウントのユーザー名とパスワードを知っていることになります。これにより、パスワード漏洩の可能性が高まります。

    • 追跡の困難さ:複数の従業員がルートユーザーを使用できる場合、操作ログで実際のオペレーターを特定できません。これにより、追跡が不可能になります。

    ルートユーザーの AccessKey ペアを作成すると、次のリスクが発生する可能性があります。

    • 完全な権限による高いリスク:ルートユーザーの AccessKey ペアは、Alibaba Cloud アカウントの完全な権限を持ちます。AccessKey ペアが漏洩した場合、リスクは非常に高くなります。

    • AccessKey ペア漏洩による深刻な悪影響:AccessKey ペアは永続的な認証情報です。オンラインのワークロードにルートユーザーの AccessKey ペアを使用し、その AccessKey ペアが漏洩した場合、AccessKey ペアを無効にするとオンラインのワークロードに影響します。AccessKey ペアを無効にしない場合、AccessKey ペアの権限を制限できないため、関連するリスクが持続します。

    Alibaba Cloud アカウントのセキュリティを確保するために、以下の指示に従うことを推奨します。

    • Alibaba Cloud アカウントのユーザー名とパスワードは管理者が保管し、複数の従業員間で共有しないようにしてください。

    • Alibaba Cloud アカウントのユーザー名とパスワードに加えて、追加の保護レイヤーとして、Alibaba Cloud アカウントのルートユーザーに Universal 2nd Factor (U2F) セキュリティキーをバインドしてください。

    • 必要な場合にのみ、Alibaba Cloud アカウントのユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインしてください。

    • Alibaba Cloud アカウントの AccessKey ペアの使用は避けてください。

    RAM ID を使用した Alibaba Cloud へのアクセス

    企業の従業員やプログラムが Alibaba Cloud リソースにアクセスする必要がある場合、それらの従業員やプログラムに RAM ID を割り当てる必要があります。従業員やプログラム用に RAM ユーザーを作成できます。その後、RAM ユーザーに異なるポリシーをアタッチできます。これにより、きめ細かいアクセス制御が保証され、日常の O&M を実行するために Alibaba Cloud アカウントを使用する必要がなくなります。詳細については、「RAM ユーザーの作成」をご参照ください。

    • 従業員からのアクセス:シングルサインオン (SSO) を推奨します。SSO が利用できない場合は、パスワードベースのコンソールログインを有効にする際にMFA デバイスをバインドする必要があります。1 つの RAM ユーザーを複数の従業員で共有しないことを推奨します。1 つの RAM ユーザーを複数の従業員で共有すると、パスワード漏洩のリスクが高まり、監査で実際のオペレーターを特定できなくなり、内部管理がより困難になります。

    • プログラムからのアクセス:Security Token Service (STS) トークンは一時的な認証情報です。Alibaba Cloud にデプロイされたプログラムには、認証情報漏洩のリスクを低減するために STS トークンを推奨します。詳細については、「アクセス認証情報を使用した API 操作呼び出しのベストプラクティス」をご参照ください。プログラムが Alibaba Cloud にデプロイされていない場合や、開発やデバッグなどのシナリオで AccessKey ペアが必要な場合は、RAM ユーザー用に AccessKey ペアを作成できます。詳細については、「RAM ユーザーの AccessKey ペアの作成」をご参照ください。各 RAM ユーザーに対して最大 2 つの AccessKey ペアを作成できます。1 つはビジネス用、もう 1 つはローテーション用です。詳細については、「RAM ユーザーの AccessKey ペアのローテーション」をご参照ください。

    従業員管理

    SSO の使用

    従業員からのアクセスには SSO を推奨します。SSO を有効にすると、企業のすべての内部アカウントが認証されます。その後、RAM ユーザーは内部アカウントを使用して Alibaba Cloud にログインし、リソースにアクセスできます。SSO 認証は企業の ID システムによって実行されるため、Alibaba Cloud で RAM ユーザーのパスワードを設定する必要はありません。これにより、パスワード漏洩のリスクが低減します。詳細については、「SSO 概要」をご参照ください。

    RAM ユーザーのパスワードポリシーの設定

    SSO が利用できない場合は、従業員用に RAM ユーザーを作成する必要があります。これにより、従業員はパスワードを使用してコンソールにログインできます。RAM コンソールでパスワードポリシーを設定できます。ポリシーでは、パスワードの長さ、必要な文字タイプ、有効期間を指定できます。詳細については、「RAM ユーザーのパスワードポリシーの設定」をご参照ください。RAM ユーザーにログインパスワードの変更を許可する場合、RAM ユーザーは強力なログインパスワードを作成し、定期的にパスワードを変更する必要があります。

    RAM ユーザーの MFA の有効化

    RAM ユーザーの MFA を有効にして、アカウントのセキュリティを強化できます。これにより、ユーザー名とパスワードに加えて、追加の保護レイヤーが追加されます。

    MFA を有効にして MFA デバイスをアタッチすると、RAM ユーザーは Alibaba Cloud へのログイン時やコンソールでの機密操作実行時に、2 つのセキュリティ要素を提供する必要があります。

    1. 第 1 の要素:ユーザー名とパスワード。

    2. 第 2 のセキュリティ要素:仮想 MFA デバイスまたはセキュリティメールアドレスからの認証コードを入力するか、パスキーで認証します。

    2025 年 3 月 17 日から、すべての RAM ユーザーに対してログイン時の MFA がデフォルトで有効になります。パスワード漏洩のリスクを低減するために、デフォルトの構成を変更しないことを推奨します。すべての RAM ユーザーがコンソールにログインするたびに MFA を実行したくない場合は、RAM ユーザーのサインインに対する MFA パラメーターを [サインインが異常な場合のみ] に設定することを推奨します。この場合、すべての RAM ユーザーは MFA デバイスをバインドする必要がありますが、MFA は Alibaba Cloud が例外を検出した場合にのみ要求されます。これにより、ログイン認証の頻度が減少します。詳細については、「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。

    ログインへのパスキーの使用

    パスキーは、パスワードの代わりに使用できる安全な認証方式です。RAM ユーザーは、ログインや MFA にパスキーを使用できます。詳細については、「パスキーとは」をご参照ください。パスキーを使用すると、ノートパソコン、携帯電話、その他のデバイスに組み込まれた認証方式をログインや MFA に使用できます。組み込みの認証方式には、指紋認識、顔認識、PIN コードなどがあります。詳細については、「RAM ユーザーのパスキーまたはセキュリティキーの登録」をご参照ください。

    • パスキーを使用して RAM ユーザーとして直接コンソールにログインする場合、MFA は不要です。

    • RAM ユーザーに MFA デバイスをバインドすることを推奨します。これにより、パスキーが利用できない場合に、パスワードと MFA デバイスを使用してコンソールにログインできます。

    RAM ユーザーのグループ化

    Alibaba Cloud アカウントに複数の RAM ユーザーがいる場合、職責に基づいて RAM ユーザーをグループ化し、そのグループに権限を付与できます。詳細については、「RAM ユーザーグループの概要」、「RAM ユーザーグループの作成」、および「RAM ユーザーグループへの権限付与」をご参照ください。

    コンソールログインに使用するソース IP アドレスの制限

    ネットワークアクセス制御ポリシーを設定して、指定された IP アドレスまたは CIDR ブロックのみが Alibaba Cloud 管理コンソールにログインできるようにすることができます。これにより、信頼できるネットワーク環境から開始されたアクセスのみが許可されます。詳細については、「ネットワーク ACL ポリシー」をご参照ください。

    AccessKey ペアの管理

    プログラムからのアクセスにおける一時的な認証情報の使用

    各 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。AccessKey ペアは、Alibaba Cloud が Alibaba Cloud アカウントおよび RAM ユーザーに提供する永続的なアクセス認証情報です。AccessKey ペアの不適切な使用はリスクを引き起こします。たとえば、プログラム開発者がプレーンテキストの AccessKey ペアをコードに書き込み、そのコードを GitHub などの公開リポジトリにアップロードすると、AccessKey ペアが漏洩し、ビジネス上の損失が発生します。

    永続的な AccessKey ペアを使用する代わりに、RAM ロールを偽装して一時的な STS トークンを取得することを推奨します。STS トークンが生成されると、RAM ロールの最大セッション期間が経過した後に自動的に無効になります。これにより、アクセス認証情報の漏洩リスクが大幅に低減します。

    Alibaba Cloud にデプロイされたプログラムには、AccessKey ペアの代わりに STS トークンを推奨します。詳細については、「アクセス認証情報を使用した API 操作呼び出しのベストプラクティス」をご参照ください。

    ハードコーディングされたプレーンテキストの AccessKey ペアの回避

    プログラム開発者がプレーンテキストの AccessKey ペアをコードに書き込み、そのコードを GitHub などのコードリポジトリにアップロードしたり、コードを共有したりすると、AccessKey ペアが漏洩します。

    AccessKey ペアが必要な場合は、Alibaba Cloud Credentials ツールや Key Management Service (KMS) を使用するか、システム環境変数を設定して AccessKey ペアを管理できます。詳細については、「RAM シークレットの管理と使用」をご参照ください。AccessKey ペアが漏洩した場合は、できるだけ早く新しい AccessKey ペアで漏洩した AccessKey ペアを置き換える必要があります。詳細については、「アクセス認証情報を使用した API 操作呼び出しのベストプラクティス」をご参照ください。

    不要になった RAM ユーザーと AccessKey ペアの削除

    退職した従業員や元パートナーの RAM ユーザーと AccessKey ペアを削除しないと、彼らは引き続き企業のクラウドリソースにアクセスでき、認証情報の盗難が発生する可能性があります。RAM ユーザーと AccessKey ペアが長期間使用されず、管理されていない場合、盗難をタイムリーに検出できません。

    2024 年 9 月から、Alibaba Cloud はアイドル状態の RAM ユーザーと AccessKey ペアの自動無効化を段階的に実施します。自動無効化機能は、対象となる AccessKey ペアを毎日無効にします。過去 2 年間にコンソールにログインしていない RAM ユーザーはアイドル状態と見なされます。過去 2 年間に使用されていない AccessKey ペアはアイドル状態と見なされます。

    AccessKey ペアベースの API 呼び出しに使用するソース IP アドレスの制限

    ネットワークアクセス制御のための AccessKey ペアベースのポリシーを設定して、指定された IP アドレスのみが AccessKey ペアを使用して Alibaba Cloud API 操作を呼び出せるようにすることができます。これにより、API 操作は信頼できるネットワーク環境で AccessKey ペアを使用して呼び出されます。詳細については、「ネットワーク ACL ポリシーを使用した AccessKey ペア使用の制限」をご参照ください。

    • AccessKey ペアが漏洩した、または漏洩する可能性がある場合は、AccessKey ペアのネットワークアクセス制御ポリシーを設定して、信頼できるネットワーク環境でのみ API 呼び出しを許可し、疑わしい外部からの呼び出しをブロックします。

    • 各アカウントのネットワーク状況を確認し、アカウントレベルまたは AccessKey ペアレベルのネットワークアクセス制御ポリシーを設定して、疑わしい外部からの呼び出しを防止します。

    権限管理

    最小権限の原則に基づく権限付与

    RAM ID にポリシーをアタッチして、RAM ID のリソースへのアクセス権限を制限できます。RAM ID は、RAM ユーザー、RAM ユーザーグループ、RAM ロールです。過剰な権限によるセキュリティリスクを回避するために、最小権限の原則に従い、必要な権限のみを付与することを推奨します。

    ポリシーは、システムポリシーとカスタムポリシーに分類されます。システムポリシーは Alibaba Cloud によって作成および更新されます。システムポリシーは使用できますが、変更はできません。カスタムポリシーはユーザーによって作成および更新されます。ビジネス要件に合わせて、カスタムポリシーを作成、変更、削除、およびスペックアップできます。詳細については、「ポリシーの概要」をご参照ください。カスタムポリシーを使用して、きめ細かい権限管理を実装できます。詳細については、「カスタムポリシーの作成」をご参照ください。

    ポリシーでの Condition 要素の指定によるセキュリティ強化

    カスタムポリシーで Condition 要素を指定して、リソースへのアクセスを制限できます。たとえば、リソースアクセスに承認された期間や承認された IP アドレスを指定できます。詳細については、「Condition」、

    IP アドレスに基づく Alibaba Cloud リソースへのアクセスの制御」、「指定された期間での Alibaba Cloud へのアクセス」、および「指定された方法での Alibaba Cloud へのアクセス」をご参照ください。