RAM のセキュリティ設定 - Resource Access Management - Alibaba Cloud ドキュメントセンター

このトピックでは、Resource Access Management (RAM) のセキュリティ設定の基本概念について説明します。これらの設定は、アカウントを保護するのに役立ちます。

ログインパスワード

ログインパスワードは、Alibaba Cloud にログインする際に ID を検証するために使用される認証情報です。

重要

ログインパスワードは安全に保管し、定期的に変更してください。

ログインパスワードの設定方法の詳細については、「RAM ユーザーのログインパスワードの変更」をご参照ください。

デフォルトドメイン名

Alibaba Cloud は、各 Alibaba Cloud アカウントに デフォルトドメイン名を割り当てます。フォーマットは <AccountAlias>.onaliyun.com です。デフォルトドメイン名は Alibaba Cloud アカウントの一意の識別子であり、RAM ユーザーのログインやシングルサインオン (SSO) などのシナリオで使用されます。

詳細については、「デフォルトドメイン名を表示および変更する」をご参照ください。

ドメインエイリアス

パブリックネットワークで解決可能なドメイン名をお持ちの場合、それを ドメインエイリアスとして使用して、デフォルトドメイン名を置き換えることができます。ドメインエイリアスは、デフォルトドメイン名のエイリアスです。

説明

ドメインエイリアスは、ドメインの所有権の検証が完了した後にのみ使用できます。検証後、デフォルトドメイン名の代わりにドメインエイリアスを使用できます。

詳細については、「ドメインエイリアスを作成および検証する」をご参照ください。

AccessKey ペア

AccessKey ペアは、ID 検証に使用される AccessKey ID と AccessKey Secret で構成されます。API リクエストを行う際、RAM は AccessKey ID と AccessKey Secret を使用して対称暗号化を行い、リクエスト送信者の ID を検証します。認証が成功すると、対応するリソースを操作できます。

AccessKey ID と AccessKey Secret は一緒に使用されます。AccessKey ID はユーザーを識別します。AccessKey Secret は署名文字列を暗号化するために使用されるキーで、その署名文字列は RAM によって検証されます。

重要

AccessKey Secret は作成時にのみ表示され、後から取得することはできません。安全に保管してください。

詳細については、「AccessKey ペアを作成する」をご参照ください。

多要素認証 (MFA)

多要素認証 (MFA) は、ユーザー名とパスワードに加えて、セキュリティのレイヤーを追加するシンプルで効果的なセキュリティプラクティスです。コンソールにログインしたり、機密性の高い操作を実行したりする際に、MFA は二次的な ID 検証を提供して、アカウントのセキュリティを向上させます。このセクションでは、RAM ユーザーがサポートする MFA 方式、その使用方法、および制限事項について説明します。

MFA 方式

認証方式	説明	シナリオ	参照
仮想 MFA	時間ベースのワンタイムパスワード (TOTP) アルゴリズムは、広く使用されている多要素認証プロトコルです。Alibaba Cloud アプリや Google Authenticator など、携帯電話やその他のデバイスで TOTP をサポートするアプリケーションは、仮想 MFA デバイスと呼ばれます。ユーザーが仮想 MFA デバイスを有効にすると、Alibaba Cloud はログイン時にアプリケーションが生成した 6 桁の検証コードの入力をユーザーに要求します。これにより、パスワードの盗難による不正なログインを防ぎます。	コンソールログイン時の二次的な ID 検証機密性の高い操作に対する二次的な ID 検証	RAM ユーザーの MFA デバイスのバインド
パスキー	パスキーは、パスワードに代わる、より安全な認証方式です。Alibaba Cloud では、RAM ユーザーがパスキーを使用してログインしたり、MFA 方式として使用したりできます。パスキーを使用すると、ノート PC、携帯電話、またはその他のデバイスに組み込まれている指紋、顔、または PIN 認証を使用して、ログインまたは MFA 検証を完了できます。	コンソールログイン時の二次的な ID 検証機密性の高い操作に対する二次的な ID 検証	パスキーをバインドする
セキュアなメールアドレス	RAM ユーザーにセキュアなメールアドレスをアタッチします。セキュアなメールアドレスに送信される検証コードは、二次的な ID 検証に使用されます。	コンソールログイン時の二次的な ID 検証機密性の高い操作に対する二次的な ID 検証	セキュアなメールアドレスのアタッチ

使用方法

MFA を有効にして MFA デバイスをアタッチすると、RAM ユーザーは Alibaba Cloud へのログイン時やコンソールでの機密性の高い操作の実行時に、2 つのセキュリティ要素を提供する必要があります。

1つ目の要素：ユーザー名とパスワードです。
第 2 のセキュリティ要素: 仮想 MFA デバイスまたはセキュリティメールアドレスの認証コードを入力するか、パスキーで認証します。

制限

仮想 MFAは、ブラウザまたは Alibaba Cloud アプリを介した Alibaba Cloud へのログインでサポートされています。
パスキーの制限事項とサポートされているデバイスタイプについては、「パスキーとは」をご参照ください。
1 つのセキュアなメールアドレスは、最大 5 人の RAM ユーザーにアタッチできます。

機密性の高い操作に対する二次的な ID 検証

アカウントのセキュリティを保護するため、MFA デバイスがアタッチされた RAM ユーザーがコンソールで機密性の高い操作を実行すると、リスク管理がトリガーされます。その後、ユーザーは二次的な ID 検証を実行する必要があります。ユーザーは、正しい検証コードを入力した後にのみ、機密性の高い操作を実行できます。

すべての RAM ユーザーに対して機密性の高い操作の二次的な ID 検証を有効にする場合は、まずすべての RAM ユーザーに MFA を強制適用する必要があります。詳細については、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。