すべてのプロダクト
Search
ドキュメントセンター

Resource Management:ほとんどのリソースディレクトリ機能をアカウントのルートユーザーとして使用できないのはなぜですか?

最終更新日:Nov 01, 2024

リソースディレクトリの管理アカウントのルートユーザーとしてリソース管理コンソールにログインした後、[リソースディレクトリ] ページで次の操作を実行できない場合があります。メンバーを使用してAlibaba Cloud管理コンソールにログインし、メンバーを削除し、メンバーのタイプを切り替え、セキュリティ上の目的で携帯電話番号をメンバーにバインドします。 このトピックでは、問題の原因と解決策について説明します。

問題の説明

リソースディレクトリの管理アカウントのルートユーザーとしてリソース管理コンソールにログインすると、次の図に示すように、[操作] 列の [ログインアカウント] 、[削除] 、[クラウドアカウントへの切り替え] 、[リソースアカウントへの切り替え] 、[携帯電話番号のバインド] ボタンが暗くなります。

image

発生原因

Alibaba Cloud のベストプラクティスでは、セキュリティを確保するために最小権限の原則が実装されています。 ルートユーザーはAlibaba CloudアカウントIDです。 デフォルトでは、rootユーザーは、関連するAlibaba Cloudアカウント内のリソースに対するすべての管理権限を持っています。 アカウントのルートユーザーを使用して操作を実行すると、非常に高いセキュリティリスクが発生する可能性があり、セキュリティ要件に準拠しません。 リソースディレクトリでは、クラウドアカウントにのみルートユーザーがあります。 セキュリティを確保するために、リソースディレクトリ内のすべてのクラウドアカウントのrootユーザーを無効にし、RAMユーザーを使用して関連する操作を実行することを推奨します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。

次の理由により、リソースディレクトリでキー操作を実行できるのは、必要な権限を持つRAMユーザーのみです。

  • RAMユーザーには、最小権限の原則に基づいて権限を付与できます。

  • アカウントのrootユーザーの悪用によるセキュリティリスクを防ぐことができます。

  • RAM ユーザーを使用して実行される操作は、システムによって記録することができ、監査と追跡が容易になります。

ソリューション

リソースディレクトリの管理アカウントRAMユーザーを作成し、RAMユーザーに必要な権限を付与し、RAMユーザーを使用して操作を実行できます。

  1. 管理アカウントのrootユーザーを使用して、RAMユーザーを作成します。

    管理アカウントのrootユーザーを使用して、RAMコンソールにログインします。 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。 [ユーザー] ページで、[ユーザーの作成] をクリックします。 アカウントのセキュリティを確保するために、ビジネス要件に基づいて、アクセスモードにコンソールアクセスOpenAPIアクセスのいずれかを選択することを推奨します。 これにより、個人用のRAMユーザーとプログラム用のRAMユーザーを分離できます。 詳細については、「RAMユーザーの作成」をご参照ください。

    image

    image

  2. 管理アカウントのrootユーザーを使用して、RAMユーザーに権限を付与します。

    [ユーザー] ページでRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。 権限付与パネルで、必要なポリシーをRAMユーザーにアタッチします。 詳細については、「RAMユーザーへの権限付与」をご参照ください。

    image

    image

    次の表に、さまざまなシナリオで必要なポリシーを示します。

    シナリオ

    ポリシー

    メンバーを使用してAlibaba Cloud管理コンソールにログインできない

    • AliyunResourceDirectoryFullAccess、または最低限必要な操作権限を含むカスタムポリシー

    • AliyunSTSAssumeRoleAccess

    メンバーを削除できません

    AliyunResourceDirectoryFullAccess、または最低限必要な操作権限を含むカスタムポリシー

    説明

    メンバー削除機能が無効になっている場合、削除ボタンも暗くなります。 したがって、メンバー削除機能を有効にする必要があります。 詳細については、「メンバー削除機能の有効化」をご参照ください。

    メンバーのタイプを切り替えることができません

    AliyunResourceDirectoryFullAccess、または最低限必要な操作権限を含むカスタムポリシー

    セキュリティ目的で携帯電話番号をメンバーにバインドできない

    AliyunResourceDirectoryFullAccess、または最低限必要な操作権限を含むカスタムポリシー

    説明

    AliyunResourceDirectoryFullAccessポリシーは、リソースディレクトリに対する最高の権限を定義します。 RAMユーザーとして特定の操作のみを実行する場合は、操作の実行に必要な権限のみをRAMユーザーに付与することをお勧めします。 権限の詳細については、「リソースディレクトリ」をご参照ください。

  3. RAMユーザーとしてAlibaba Cloud管理コンソールにログインします。

    RAMユーザーとしてAlibaba Cloud管理コンソールにログインし、RAMユーザーのユーザー名とパスワードを入力します。 次に、リソース管理コンソールにログインし、ビジネス要件に基づいて操作を実行します。

    image