RAMユーザーとは何ですか?

RAM (Resource Access Management) ユーザーは、物理的なIDです。 Alibaba CloudアカウントのRAMユーザーを作成し、RAMユーザーに異なるリソースへのアクセスを許可できます。企業内の複数のユーザーが同時にリソースにアクセスする必要がある場合は、複数のRAMユーザーを作成し、RAMユーザーに最小限の権限を割り当てることができます。これにより、ユーザーがAlibaba Cloudアカウントのユーザー名とパスワードまたはAccessKeyペアを共有できなくなり、セキュリティリスクが軽減されます。

RAMユーザーは、固定IDと資格情報を持つ物理IDです。 RAMユーザーは、人またはアプリケーションを表します。 RAMユーザーの特徴は次のとおりです。

RAMユーザーはAlibaba Cloudアカウントで作成できます。この場合、RAMユーザーはAlibaba Cloudアカウントに属しています。 RAMユーザーは、管理者権限を持つRAMユーザーまたはRAMロールによって作成することもできます。この場合、RAMユーザーは、RAMユーザーまたはRAMロールを作成するAlibaba Cloudアカウントに属します。
RAMユーザーはリソースを所有していません。 RAMユーザーのリソース使用料は、RAMユーザーが属するAlibaba Cloudアカウントに請求されます。 RAMユーザーは個別の請求書を受け取らず、支払いを行うことができません。
RAMユーザーがAlibaba Cloud管理コンソールにログインするか、操作を呼び出す前に、Alibaba Cloudアカウントによって承認されている必要があります。 RAMユーザーが承認されると、RAMユーザーはAlibaba Cloudアカウントが所有するリソースにアクセスできます。
RAMユーザーには、ログイン用の独立したパスワードまたはAccessKeyペアがあります。
Alibaba Cloudアカウントは複数のRAMユーザーを作成できます。 RAMユーザーは、企業内の従業員、システム、およびアプリケーションを表すために使用できます。

RAMユーザータイプ

RAMユーザーは、作成方法に基づいて次のタイプに分類されます。

手動作成: RAMコンソールで作成されたRAMユーザー。詳細については、「RAM ユーザーの作成」をご参照ください。
CloudSSO同期: CloudSSOのRAMユーザープロビジョニング機能を使用して作成されたRAMユーザー。 CloudSSOユーザーポータルにCloudSSOユーザーとしてログインし、このタイプのRAMユーザーを使用してAlibaba Cloud管理コンソールにアクセスする必要があります。このタイプのRAMユーザーを使用して、RAMユーザーのユーザー名とパスワードを使用してAlibaba Cloud管理コンソールにログインすることはできません。このタイプのRAMユーザーは、RAMユーザーのプロビジョニングを削除した後にのみ削除できます。詳細については、「RAMユーザープロビジョニングの作成」をご参照ください。

手順

Alibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用して、RAMコンソールにログインします。
RAM ユーザーを作成します。
詳細については、「RAM ユーザーの作成」をご参照ください。
ログインパラメーターを設定します。
RAMユーザーのログインパスワードとAccessKeyペアの両方を設定できます。セキュリティ上の理由から、RAMユーザーにログインパスワードまたはAccessKeyペアを設定することを推奨します。 RAMユーザーがアプリケーションの場合、RAMユーザーはリソースにアクセスするための操作を呼び出す必要があります。この場合、RAMユーザーのAccessKeyペアのみを作成する必要があります。 RAMユーザーが従業員の場合、RAMユーザーはAlibaba Cloud管理コンソールにログインしてリソースにアクセスする必要があります。この場合、RAMユーザーのログインパスワードのみを設定する必要があります。
- Alibaba Cloud管理コンソールへのログイン
  Alibaba Cloud管理コンソールへのログインを有効にし、コンソールのログインパスワードを設定し、RAMユーザーのパスワードポリシーを設定する必要があります。コンソールのログインパスワードを変更し、ビジネス要件に基づいて多要素認証 (MFA) を有効にすることもできます。詳細については、RAMユーザーのコンソールログイン設定の管理、RAMユーザーのパスワードポリシーの設定、RAMユーザーのログインパスワードの変更、およびRAMユーザーへのMFAデバイスのバインドをご参照ください。
  説明
  ユーザーベースのシングルサインオン (SSO) が有効になっている場合、RAMユーザーのAlibaba Cloud管理コンソールへのログインを有効にする必要はありません。 RAMユーザーは、ユーザーベースSSOを使用してAlibaba Cloud管理コンソールにログインできます。詳細については、「ユーザーベースSSOの概要」をご参照ください。
- API 呼び出し回数
  RAMユーザーのAccessKeyペアを作成する必要があります。詳細については、「AccessKey の作成」をご参照ください。
RAMユーザーに権限を付与します。
さまざまなRAMユーザーに、さまざまなリソースにアクセスする権限を付与できます。詳細については、「RAMユーザーへの権限付与」をご参照ください。
RAMユーザーを使用してAlibaba Cloud管理コンソールにログインするか、AccessKeyペアを使用して操作を呼び出します。
詳細については、「RAMユーザーとしてAlibaba Cloud管理コンソールにログインする」および「APIの概要」をご参照ください。

ベストプラクティス

複数のAlibaba Cloudリソースを持つ企業は、RAMを使用してID、ユーザー権限、およびリソースを管理できます。詳細については、「RAMを使用したユーザー権限とリソースの管理」をご参照ください。

制限事項

RAMユーザーの使用制限の詳細については、「制限」をご参照ください。