すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:権限監査の概要

最終更新日:Dec 20, 2024

管理者は、RAMユーザーやRAMロールなど、RAM (Resource Access Management) IDに過剰な権限を付与する場合があります。 権限監査機能を使用すると、RAM IDに付与されている権限と、RAM IDが最後にアクセスした時刻を確認できます。 上記の情報に基づいて未使用の権限を特定し、安全に取り消すことができます。 このようにして、RAMアイデンティティに対する最小特権の原則が達成される。

使用上の注意

権限監査機能を使用してRAM IDの権限を変更する前に、次の手順に注意してください。

トラッキング期間

2024年2月1日以降のアクセスリクエストのみが追跡されます。 最後のアクセス時刻のデータは、最大24時間遅延することがあります。

アクセス試行

リクエストが成功したかどうかにかかわらず、Alibaba Cloudサービスに対して行われたすべてのアクセスリクエストは記録されます。 これらのリクエストには、Alibaba Cloudサービスのコンソールへのログイン、CLIまたはSDKを使用したAlibaba Cloudサービスへのアクセス、Alibaba CloudサービスのAPI操作の呼び出しが含まれます。 アクセス許可監査機能によって検出された予期しないアクセス要求は、アクセス要求が拒否された可能性があるため、アカウントが侵害されたことを意味しません。 ActionTrailログを確認して、アクセス要求の詳細を表示できます。

レポート所有者

アクセス許可監査レポートを生成するエンティティのみが、レポート内のアクセス許可レコードを表示できます。 権限アクセスレコードは、レポートが正常に生成されるまで、Alibaba Cloud管理コンソールで使用できません。 API、SDK、またはCLIを使用してアクセス許可レコードを表示するには、アクセス資格情報がレポート所有者のものと同じである必要があります。 RAMロールの一時的なSecurity Token Service (STS) トークンを使用してレポートを生成する場合は、ロールの一時的なSTSトークンを使用してアクセス許可レコードを表示する必要があります。

サポートされるポリシー

権限監査機能は、RAMユーザー、RAMユーザーグループ、およびRAMロールにアタッチされているポリシーであるIDベースのポリシーのみを分析します。 権限監査機能は、Object Storage Service (OSS) バケットポリシーなどのリソースベースのポリシー、リソースディレクトリの制御ポリシー、セッションポリシーなど、他の種類のポリシーを分析しません。

サポートされる監査の詳細

  • サービスレベル

    権限監査機能は、サービスレベルでRAM IDの権限アクセスレコードを分析します。 Alibaba CloudサービスのRAM IDに付与されている権限、RAM IDがアクセスしたAlibaba Cloudサービス、および各Alibaba CloudサービスがRAM IDによって最後にアクセスされた時刻を表示できます。 これにより、不要なシステムポリシーを取り消したり、RAM IDの管理者権限を特定のAlibaba Cloudサービスの管理権限に低下させるかどうかを判断するのに役立ちます。

    権限監査機能でサポートされているAlibaba Cloudサービスの詳細については、「権限監査機能を使用するサービス」をご参照ください。

  • 操作レベル

    サービスの粒度とは別に、権限監査機能は、より詳細なAPI操作レベルでRAM IDの権限アクセスレコードも分析します。 特定のAPI操作でRAM IDに付与されている権限、RAM IDがアクセスしたAPI操作、および各API操作がRAM IDによって最後にアクセスされた時刻を表示できます。 これにより、アプリケーションに対する詳細な権限制御を実行し、リスクの高い権限を制限することができます。

    操作レベルの権限監査をサポートするAlibaba Cloudサービスの詳細については、「権限監査機能を使用するサービス」トピックの表をご参照ください。 この表では、[監査の粒度] 列に、操作レベルの権限監査をサポートするAlibaba Cloudサービスの [操作] が表示されます。

    重要
    • 権限監査機能は、ActionTrailのコントロールプレーンに統合されたAPI操作のみをサポートし、Alibaba Cloudサービスのデータプレーンに保存されているAPI操作 (OSSのGetObject操作など) はサポートしません。

    • さらに、権限監査機能は、権限が付与されているがAPIに関連付けられていない操作 (ram:PassRoleなど) をサポートしていません。

権限監査機能がサポートしないシナリオ

いくつかのシナリオでは、Alibaba Cloudサービスは、呼び出し元に代わって、他のAlibaba Cloudサービスに対するAPI呼び出し元の権限をチェックします。 たとえば、呼び出し元がResource Centerを使用してAlibaba Cloudのサービスおよびリージョン間でリソースを検索する場合、Resource Centerは、必要なAlibaba Cloudサービスのリソースを照会する権限があるかどうかを確認し、呼び出し元が権限を持つリソースのみを返します。 権限チェック操作は、必要なAlibaba Cloudサービスに対して発信者によって直接開始されないため、権限監査情報には含まれません。

次の表に、前述の権限チェック操作を含むAPI操作を示します。

Alibaba Cloud サービス

サービスコード

API

リソースセンター

resourcecenter

SearchResources

GetResourceCounts

GetResourceConfiguration

ListResourceTypes

ExecuteSQLQuery

Resource Management

resourcemanager

ListResources

タグサービス

tag

ListTagResources

ListTagKeys

ListTagValues

RAMユーザーのアクセス許可レコードの表示

  1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

  3. [ユーザー] ページで、管理するRAMユーザーのユーザー名をクリックします。

  4. ユーザー詳細ページで、[ポリシーアクセスベータ版] タブをクリックします。

    RAMユーザーの権限監査レポートの生成が開始されます。 レポートが正常に生成されるまで待ちます。

  5. アクセス許可レコードを表示します。

    RAMユーザーがアクセスできるAlibaba Cloudサービス、RAMユーザーにアタッチされているポリシー、および各Alibaba CloudサービスがRAMユーザーによって最後にアクセスされた時刻を表示できます。

    操作レベルの権限監査をサポートするAlibaba Cloudサービスの場合、[アクション] 列の [アクションの表示] をクリックして、許可されているAPI操作のリストと、RAMユーザーが各操作に最後にアクセスした時刻を表示できます。

    image

RAMロールのアクセス許可レコードの表示

  1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、アイデンティティ > ロールを選択します。

  3. ロールページで、管理するRAMロールの名前をクリックします。

  4. ロールの詳細ページで、[ポリシーアクセスベータ版] タブをクリックします。

    システムがRAMロールの権限監査レポートの生成を開始します。 レポートが正常に生成されるまで待ちます。

    説明

    サービスにリンクされたロールは、権限監査をサポートしません。 したがって、サービスにリンクされたロールの [ポリシーアクセスベータ] タブは表示されません。

  5. アクセス許可レコードを表示します。

    RAMユーザーがアクセスできるAlibaba Cloudサービス、RAMロールにアタッチされているポリシー、および各Alibaba CloudサービスがRAMユーザーによって最後にアクセスされた時刻を表示できます。

    操作レベルの権限監査をサポートするAlibaba Cloudサービスの場合、[アクション] 列の [アクションの表示] をクリックして、許可されているAPI操作のリストと、RAMユーザーが各操作に最後にアクセスした時刻を表示できます。

    image

権限監査に関するFAQ

空の権限監査レポートが返された場合はどうすればよいですか?

さまざまな理由により、空の権限監査レポートが返される場合があります。 次の手順を実行して、問題をトラブルシューティングできます。

  1. IDベースのポリシーがRAM IDにアタッチされているかどうかを確認します。 RAMユーザーの場合、少なくとも1つのポリシーがRAMユーザーにアタッチされているか、RAMユーザーがRAMユーザーグループからポリシーを継承していることを確認します。 RAMロールの場合、少なくとも1つのポリシーがRAMロールにアタッチされていることを確認します。

  2. RAM IDにアタッチされているポリシーが実際に許可されているかどうかを確認します。 システムは、RAM IDにアタッチされているすべてのポリシーを分析し、RAM IDが実際にアクセス権限を持つAlibaba CloudサービスおよびAPI操作を識別します。

  3. RAM IDにアクセス権限があるAlibaba CloudサービスまたはAPI操作が権限監査機能でサポートされているかどうかを確認します。 詳細については、「権限監査機能を使用するサービス」をご参照ください。

権限監査レポートを表示しようとしたときにInvalidParameter.Policy.Statementエラーが報告された場合はどうすればよいですか

ポリシーの形式が無効なため、エラーが報告されます。 ポリシー名とエラーの原因も返されます。 ポリシーの詳細を確認し、不正なコンテンツを修正してから、権限監査レポートを再度生成します。

権限監査レポートを表示しようとしたときにInvalidParameter.Policy.NotActionエラーが報告された場合はどうすればよいですか?

NotAction要素の形式が無効なため, エラーが報告されます。 分析できないポリシーの名前も返されます。 ポリシーの詳細を確認し、要素に有効な値を指定してから、権限監査レポートを再生成してください。

権限監査レポートを表示しようとしたときにLengthExceedLimit.Policyエラーが報告された場合はどうすればよいですか?

添付されたポリシーのドキュメントが大きすぎて分析できないため、エラーが報告されます。 分析できないポリシーの名前も返されます。 この問題を解決するには、ポリシーをステートメントで分割し、権限監査レポートを再度生成します。

関連ドキュメント

  • 権限監査機能でサポートされているAlibaba Cloudサービスと監査の詳細については、「権限監査機能を使用するサービス」をご参照ください。

  • 過剰特権アナライザーを使用すると、リソースディレクトリまたは現在のAlibaba Cloudアカウント内の過剰特権RAM IDを継続的に検出できます。 詳細については、「過剰特権IDの識別」をご参照ください。