このトピックでは、RAM (Resource Access Management) ユーザーとAlibaba CloudアカウントのAccessKeyペアを作成する方法について説明します。
AccessKeyペアとは何ですか?
AccessKeyペアは、Alibaba Cloudによってユーザーに提供される永続的なアクセス資格情報です。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。
AccessKey ID は、ユーザーの識別に使用されます。
Access Key Secret は、ユーザーの ID の確認に使用されます。
AccessKey IDとAccessKey secretは、アルゴリズムに基づいてRAMによって生成されます。 Alibaba Cloudは、保存および送信中にAccessKey IDとAccessKeyシークレットを暗号化します。
コンソールログオンにAccessKeyペアを使用することはできません。 API、CLI、SDK、Terraformなどの開発ツールを使用してAlibaba Cloudにアクセスする場合、開始されるリクエストには、AccessKey IDと、AccessKeyシークレットを使用してリクエストを暗号化するために生成される署名が含まれます。 この場合、AccessKeyペアはID検証とリクエストの有効性検証に使用されます。
デフォルトでは、Alibaba Cloudアカウントは管理者であり、Alibaba CloudアカウントのすべてのAlibaba Cloudリソースを管理する権限を持っています。 Alibaba Cloudアカウントの権限を変更することはできません。 Alibaba CloudアカウントのAccessKeyペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。 アカウントのセキュリティを確保するため、Alibaba CloudアカウントのAccessKeyペアを作成しないことを推奨します。 APIアクセスモードのみが有効になっているRAMユーザーを作成し、そのRAMユーザーのAccessKeyペアを作成することを推奨します。 最小権限の原則に基づいて必要な権限のみをRAMユーザーに付与すると、RAMユーザーはAPI操作を呼び出してAlibaba Cloudリソースにアクセスできます。
プロジェクトコードにAccessKeyペアを含めないことを推奨します。 プロジェクトコードにAccessKeyペアを含めると、AccessKeyペアが漏洩する可能性があります。 AccessKeyペアを安全に使用する方法の詳細については、「Credentialセキュリティソリューション」をご参照ください。
RAMユーザーのAccessKeyペアを作成する
前提条件
次のいずれかのアカウントを使用して、RAMユーザーのAccessKeyペアを作成できます。
Alibaba Cloudアカウント。
AliyunRAMFullAccessポリシーがアタッチされているRAM管理者。
AccessKeyペアを管理する権限が付与されているRAMユーザー。 RAMユーザーが属するAlibaba Cloudアカウントを使用して権限を付与できます。 RAMユーザーにAccessKeyペアを管理する権限を付与する方法の詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。
制限事項
RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 これにより、AccessKeyペアリークのリスクを軽減できます。 AccessKey secretを記録し、機密を保持します。
RAMユーザーに対して最大2つのAccessKeyペアを作成できます。
手順
RAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ユーザーページで、管理するRAMユーザーのユーザー名をクリックします。
認証タブのAccessKeyセクションで、AccessKeyの作成をクリックします。
AccessKeyの作成メッセージで、AccessKey IDとAccessKey secretを表示します。
[CSVファイルのダウンロード] をクリックしてAccessKeyペアをダウンロードするか、[コピー] をクリックしてAccessKeyペアをコピーします。
OKをクリックします。
Alibaba CloudアカウントのAccessKeyペアを作成する
制限事項
Alibaba CloudアカウントのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 これにより、AccessKeyペアリークのリスクを軽減できます。 AccessKey secretを記録し、機密を保持します。
Alibaba Cloudアカウントに最大5つのAccessKeyペアを作成できます。
手順
Alibaba Cloud アカウントで RAM コンソールにログインします。
表示されるページの右上隅にあるプロフィール写真の上にポインターを移動して、AccessKey管理をクリックします。
注メッセージで、セキュリティのヒントを読み、現在のAccessKeyペアの使用をクリックします。
AccessKeyペアページで、AccessKeyの作成をクリックします。
AccessKeyの作成メッセージで、AccessKey IDとAccessKey secretを表示します。
[CSVファイルのダウンロード] をクリックしてAccessKeyペアをダウンロードするか、[コピー] をクリックしてAccessKeyペアをコピーします。
[AccessKey Secretを保存しました] を選択します。
OKをクリックします。