RAMのセキュリティ設定 - Resource Access Management - Alibaba Cloud ドキュメントセンター

このトピックでは、Resource Access Management (RAM) コンソールのセキュリティ設定の基本的な概念について説明します。

password

Alibaba Cloud管理コンソールへのログインに使用されるID資格情報。

重要

定期的にパスワードを変更し、パスワードを秘密にしておくことをお勧めします。

ログインパスワードの設定方法の詳細については、「RAMユーザーのログインパスワードの変更」をご参照ください。

defaultドメイン名

デフォルトのドメイン名は、Alibaba Cloudアカウントの一意の識別子です。 Alibaba Cloudは、各Alibaba Cloudアカウントにデフォルトのドメイン名を割り当てます。デフォルトドメイン名の形式は <AccountAlia s>.onaliyun.comです。デフォルトのドメイン名は、RAMユーザーのログインおよびシングルサインオン (SSO) 管理に使用できます。

詳細については、「デフォルトドメイン名の表示と変更」をご参照ください。

ドメインエイリアス

デフォルトのドメイン名を置き換えるために使用できるカスタムドメイン名。カスタムドメイン名はパブリックに解決可能である必要があります。ドメインエイリアスは、デフォルトドメイン名のエイリアスです。

説明

カスタムドメインは、カスタムドメインの所有権が検証された後にのみ、ドメインエイリアスとして使用できます。所有権が検証された後、デフォルトドメイン名が必要なすべてのシナリオで、ドメインエイリアスを使用してデフォルトドメイン名を置き換えることができます。

詳細については、「ドメインエイリアスの作成と検証」をご参照ください。

AccessKey ペア

アクセスIDの検証に使用されるID資格情報。各AccessKeyペアは、AccessKey IDとAccessKeyシークレットで構成されています。 APIリクエストを開始すると、AccessKey IDとAccessKey secretが対称暗号化とID検証に使用されます。 IDの検証後、APIを呼び出すことでAlibaba Cloudリソースを管理できます。

AccessKey IDはユーザーを識別するために使用され、AccessKey secretは署名文字列の暗号化と検証に使用されます。

重要

AccessKeyシークレットは、AccessKeyペアを作成した場合にのみ表示され、その後のクエリでは使用できません。 AccessKey シークレットは後で使用できるように保存しておくことを推奨します。

詳細については、「AccessKey の作成」をご参照ください。

マルチファクタ認証 (MFA)

MFAは、使いやすく効果的な認証モデルであり、ユーザー名とパスワードの認証モデルの補足です。 MFAは、コンソールのログオンを開始したり、機密操作を実行したりするユーザーを検証することで、追加の保護層を提供します。 MFAは、アカウントのセキュリティを強化します。次のセクションでは、RAMユーザーがサポートするMFAメソッドについて説明します。次のセクションでは、RAMでのMFAの使用方法と制限についても説明します。

MFAメソッド

MFAメソッド	説明	シナリオ	関連ドキュメント
仮想MFAデバイス	時間ベースのワンタイム暗号アルゴリズム (TOTP) は、広く使用されている多要素認証プロトコルです。携帯電話などのデバイスでTOTPをサポートするアプリケーションは、仮想MFAデバイスと呼ばれます。たとえば、Alibaba CloudアプリとGoogle Authenticatorアプリはどちらも仮想MFAデバイスです。仮想MFAデバイスを有効にする場合、Alibaba Cloud管理コンソールにログインするときにデバイスで生成される6桁の認証コードを入力する必要があります。これにより、パスワードの盗難による不正なログオンを防ぎます。	コンソールログオン機密操作	仮想MFAデバイスをRAMユーザーにバインドする
U2Fセキュリティキー	Universal 2nd Factor (U2F) は、Fast Identity Online (FIDO) Allianceによって広く使用およびホストされている多要素認証プロトコルです。詳細については、Fast Identity Online (FIDO) Allianceをご覧ください。このプロトコルは、効率的で普遍的な多要素認証方法を提供するために使用されます。コンピュータのUSBポートにU2Fセキュリティキーを差し込むことができます。その後、Alibaba Cloud管理コンソールにログインするときにデバイスのボタンをタップすることで、多要素認証を完了できます。詳細については、「Web認証 (WebAuthn) 」をご参照ください。	コンソールログオン機密操作	U2Fセキュリティキーのバインド

使用上の注意

MFAを有効にしてMFAデバイスをRAMユーザーにバインドした後、RAMユーザーがAlibaba Cloud管理コンソールにログインして機密操作を実行するときに、RAMユーザーは次の手順を実行する必要があります。

RAMユーザーのユーザー名とパスワードを入力します。
仮想MFAデバイスによって生成される確認コードを入力します。または、U2F認証に合格します。

制限事項

RAMユーザーは、仮想MFAデバイスとU2Fセキュリティキーの両方をサポートします。ただし、RAMユーザーにバインドできる仮想MFAデバイスまたはU2Fセキュリティキーは1つだけです。
仮想MFA は、ブラウザまたはAlibaba CloudアプリからAlibaba Cloud管理コンソールにログインするときに使用できます。
U2Fセキュリティキーには次の制限があります。
- U2Fセキュリティキーは、USBポートを備えたコンピュータでのみ使用できます。モバイルデバイスのブラウザーまたはAlibaba CloudアプリからAlibaba Cloud管理コンソールにログインする場合、U2Fセキュリティキーは使用できません。仮想マシンまたはリモートデスクトップサービスを使用する場合、U2F認証はサポートされません。
- U2Fセキュリティキーは、e signin.alibabacloud.comドメイン名を使用してAlibaba Cloud管理コンソールにログインする場合にのみ使用できます。以前Alibaba Cloudでサポートされていたe signin-intl.aliyun.comドメイン名を使用する場合、U2F認証はサポートされません。
- U2Fセキュリティキーは、WebAuthnをサポートする次のバージョンのブラウザで使用できます。
  - Google Chrome 67以降
  - オペラ54以降
  - Mozilla Firefox 60以降
    説明
    Mozilla Firefoxを使用する場合は、次の操作を実行してU2F機能を手動で有効にする必要があります。ブラウザのアドレスバーにabout:configを入力して、ブラウザの設定ページに移動します。このページで、u2fを検索し、security.webauth.u2fパラメーターをtrueに設定します。詳しくは、「Mozilla Firefoxのヘルプドキュメント」をご参照ください。

機密操作のためのMFA

MFAは機密操作に必要です。 MFAメソッドが有効になっているRAMユーザーがAlibaba Cloud管理コンソールで機密操作を実行する場合、リスク管理がトリガーされ、RAMユーザーは再度ID認証に合格する必要があります。 RAMユーザーは、RAMユーザーが有効な検証コードを入力した後にのみ、機密操作を実行できます。

すべてのRAMユーザーに対して機密操作のID認証を実装する前に、すべてのRAMユーザーに対してMFAを有効にする必要があります。詳細については、「RAMユーザーのセキュリティ設定の管理」をご参照ください。