セキュリティを向上させ、管理を簡素化するために、不要になった Resource Access Management (RAM) ユーザーは速やかに無効化または削除する必要があります。このトピックでは、削除前のセキュリティチェックの実行、RAM ユーザーのゴミ箱への移動、ユーザーの復元または完全削除など、ユーザーのライフサイクルについて説明します。
削除前のセキュリティチェック
RAM ユーザーを削除する前に、サービスの中断を避けるため、その認証情報がどのシステムやアプリケーションでも使用されていないことを確認する必要があります。ベストプラクティスとして、RAM ユーザーを削除する前に、一定のモニタリング期間を設けて無効化することを推奨します。
削除前のチェックリスト
RAM ユーザーを削除する前に、以下のチェックを実行してください。
AccessKey ペアのアクティビティの確認:
RAM コンソールのユーザー詳細ページで、認証 タブをクリックして、ユーザーの AccessKey ペアの 最終使用サービス/時刻 情報を表示します。
詳細な API 呼び出し履歴を表示するには、ActionTrail コンソールの AccessKey ペア監査 ページで、ユーザーの
AccessKeyIdを検索します。
コンソールログインアクティビティの確認:
RAM コンソールのユーザー詳細ページで、認証管理 タブをクリックして、最終コンソールログイン を表示します。
詳細なコンソールアクティビティを表示するには、RAM コンソールのユーザー詳細ページの イベント タブをクリックするか、ActionTrail コンソールの イベントクエリ ページで RAM ユーザー名を検索します。
サービス依存関係の確認:
RAM ユーザーの認証情報が、Container Service for Kubernetes (ACK) の kubeconfig ファイルなど、他の認証情報を取得するために使用されていないことを確認します。
DataWorks や MaxCompute など、他のクラウドサービスでタスクを実行するためにユーザー ID が使用されていないことを確認します。
RAM ユーザー詳細ページの 権限監査 (ベータ版) タブで、RAM ユーザーがアクセスしたサービスと最終アクセス日時を確認します。詳細については、「権限監査の概要」をご参照ください。
ユーザー情報のバックアップ (任意):
ユーザーを復元しても、その権限とグループメンバーシップは復元されません。ユーザーを削除する前に、API またはスクリプトを使用して、バックアップ目的でポリシーとグループメンバーシップをエクスポートすることを検討してください。
ベストプラクティス:削除前の無効化
アクティブでなくなった可能性のある RAM ユーザーについては、まず認証情報を無効化し、一定期間モニタリングすることを推奨します。モニタリング期間中に問題が発生しなければ、削除に進むことができます。これは、従業員の退職やアプリケーションの廃止などのシナリオに対応するための最も安全な手順です。
RAM ユーザーの無効化:
コンソールログインの無効化:RAM ユーザー詳細ページの 認証管理 タブで、コンソールへのアクセス を 無効 に設定します。
AccessKey ペアの無効化:RAM ユーザー詳細ページの 認証管理 タブで、すべての AccessKey ペアのステータスを 無効 に設定します。
アクティビティのモニタリング:アプリケーションとサービスを一定期間 (7〜15 日など) モニタリングし、RAM ユーザーの無効化によってサービスの中断が発生していないことを確認します。
RAM ユーザーの削除:モニタリング期間中に問題が検出されなかった場合、RAM ユーザーを安全に削除できます。
RAM ユーザーのゴミ箱メカニズム
RAM ユーザーを削除すると、そのステータスは次のように変更されます。
誤った削除によるサービスの中断を防ぐため、RAM はゴミ箱を提供しています。RAM ユーザーが削除されると、完全に削除されるのではなく、ゴミ箱に移動されます。ゴミ箱には以下の特徴があります。
削除するとユーザーはゴミ箱に移動:RAM ユーザーを削除すると、ユーザーは完全にパージされるのではなく、ゴミ箱に移動されます。
無効状態:RAM ユーザーがゴミ箱にある間、すべてのアクセスが無効になります。権限、グループメンバーシップ、多要素認証 (MFA) デバイスのバインドは削除されます。
保持とパージ:RAM ユーザーはゴミ箱に 30 日間保持された後、自動的に完全にパージされます。この期間中いつでも、RAM ユーザーを復元したり、完全にパージしたりできます。
復元の制限:RAM ユーザーを復元すると、基本的な ID 情報のみが回復されます。権限の再付与、グループへの再割り当て、MFA デバイスの再登録は手動で行う必要があります。古い AccessKey ペアをゴミ箱から復元するか、新しいものを作成できます。
クォータ制限:ゴミ箱には最大 1,000 人の RAM ユーザーを保持できます。この制限に達すると、最も古い RAM ユーザーが自動的にパージされ、スペースが確保されます。
操作手順
1. RAM ユーザーをゴミ箱に移動
この操作により、RAM ユーザーはゴミ箱に移動され、30 日後に自動的にパージされます。RAM ユーザーをゴミ箱に移動すると、コンソールログインと AccessKey ペアが直ちに無効になり、関連するすべての権限と MFA デバイスのバインドが削除されます。
コンソール
Alibaba Cloud アカウントを使用するか、RAM 管理者 (
AliyunRAMFullAccessポリシーがアタッチされている) として、RAM コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
ユーザー ページで、対象の RAM ユーザーの 操作 列にある 削除 をクリックします。
または、複数の RAM ユーザーを選択し、ユーザーリストの下にある ユーザーの削除 をクリックして、一括でゴミ箱に移動することもできます。この操作は誤削除のリスクを高めるため、推奨されません。
ユーザーの削除 ダイアログボックスで、削除による影響を注意深く確認します。次に、対象の RAM ユーザーの名前を入力し、ゴミ箱に移動 をクリックします。
API
DeleteUser 操作を呼び出して、RAM ユーザーをゴミ箱に移動します。
2. ゴミ箱内の RAM ユーザーの管理
ゴミ箱内の RAM ユーザーを表示、復元、または完全削除できます。
ゴミ箱内の RAM ユーザーと AccessKey ペアの表示
ユーザー ページで、右上隅にある ゴミ箱 をクリックします。
ゴミ箱 ページでは、次の操作を実行できます。
ユーザー タブで、ゴミ箱内の RAM ユーザーのリストを表示できます。
AccessKey タブで、ゴミ箱内の AccessKey ペアのリストを表示できます。
ゴミ箱からの RAM ユーザーの復元
この操作を使用して、誤って削除された RAM ユーザーを復元します。
RAM ユーザーを復元すると、基本的な ID 情報 (ログイン名、表示名、UID、作成時刻、パスワード) のみが回復されます。権限や MFA デバイスなど、他のすべての構成は復元されず、手動で再設定する必要があります。
ユーザー ページで、右上隅にある ゴミ箱 をクリックします。
ユーザー タブで、対象の RAM ユーザーを見つけ、操作 列の 復元 をクリックします。
複数の RAM ユーザーを選択し、ゴミ箱からユーザーを復元 をクリックして、一括で復元することもできます。
ゴミ箱からユーザーを復元 ダイアログボックスで、OK をクリックします。
復元後のタスク:
RAM ユーザーに必要な権限を再付与します。
RAM ユーザーを必要なユーザーグループに再度追加します。
API アクセスが必要な場合は、ゴミ箱の AccessKey タブから古い AccessKey ペアを回復するか、新しいものを作成できます。
RAM ユーザーに MFA デバイスを再登録するように指示します。
必要に応じて、RAM ユーザーの備考、携帯電話番号、メールアドレス、タグを再追加します。
ゴミ箱からの RAM ユーザーの完全削除
この操作により、RAM ユーザーとそのすべての情報が、復元不可能な形で完全に削除されます。
RAM ユーザーが完全に削除されると、ユーザーの ID と認証情報は復元できません。
ゴミ箱内の RAM ユーザーは 30 日後に自動的に削除されます。保持期間が終了する前に、ユーザーを手動で削除して完全に削除することもできます。
ユーザー ページで、右上隅にある ゴミ箱 をクリックします。
ユーザー タブで、対象の RAM ユーザーの 操作 列にある 削除 をクリックします。
ゴミ箱からユーザーを削除 ダイアログボックスで、RAM ユーザー名を入力し、削除 をクリックします。