このトピックでは、複数のクラウドリソースを持つ企業が、RAM (Resource Access Management) を使用して、クラウドリソースにアクセスするためのユーザー権限を管理する方法について説明します。
前提条件
Alibaba Cloud アカウントが作成済みであること。 作成されていない場合は、作成してから作業を進めます。 Alibaba Cloudアカウントを作成するには、[Alibaba Cloudアカウントの作成] をクリックします。
背景情報
エンタープライズAは、Elastic Compute Service (ECS) インスタンス、ApsaraDB for RDSインスタンス、Server Load Balancer (SLB) インスタンス、Object Storage Service (OSS) バケットなど、さまざまなAlibaba Cloudリソースを購入して、プロジェクトをクラウドに移行しました。 特定の従業員はこれらのクラウドリソースを管理する必要があり、異なる従業員は職務を遂行するために異なる権限を必要とします。
エンタープライズAには次の要件があります。
セキュリティを保証するために、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。
エンタープライズAは、従業員に対して異なるRAMユーザーアカウントを作成し、これらのユーザーアカウントに異なる権限を付与することを好みます。 従業員には、職務を遂行するために必要な権限のみが付与されます。
RAMユーザーは、対応する権限が付与された後にのみリソースを管理できます。 RAMユーザーが実行するすべての操作を監査できます。
エンタープライズAは、いつでもRAMユーザーに付与された権限を取り消し、RAMユーザーアカウントを削除できます。
RAMユーザーが発生したリソースの料金は、親Alibaba Cloudアカウントに請求されます。
解決策
Alibaba Cloudアカウントの多要素認証 (MFA) を有効にして、Alibaba Cloudアカウントのパスワードが誤って開示されないようにします。 詳細については、「MFAデバイスをAlibaba Cloudアカウントにバインドする」をご参照ください。
さまざまな従業員またはアプリのRAMユーザーアカウントを作成し、ビジネス要件に基づいてログインパスワードを指定するか、AccessKeyペアを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
複数の従業員に同じ責任がある場合は、RAMユーザーグループを作成し、対応するユーザーをこのグループに追加することを推奨します。 詳細については、「RAMユーザーグループの作成」をご参照ください。
1つ以上のシステムポリシーをRAMユーザーまたはRAMユーザーグループにアタッチします。 詳細については、「RAMユーザーへの権限の付与」および「RAMユーザーグループへの権限の付与」をご参照ください。 権限管理を細かくするには、1つ以上のカスタムポリシーを作成し、それらをRAMユーザーまたはRAMユーザーグループにアタッチします。 詳細については、「カスタマイズポリシーの作成」をご参照ください。
権限が不要になったRAMユーザーグループまたはRAMユーザーから権限を削除します。 詳細については、「RAMユーザーから権限を取り消す」および「RAMユーザーグループから権限を取り消す」をご参照ください。