すべてのプロダクト
Search

このプロダクト

    :RAM ユーザーへの権限付与

    ドキュメントセンター

    :RAM ユーザーへの権限付与

    最終更新日:Sep 03, 2024

    Alibaba CloudアカウントのAccessKeyペアの公開によって引き起こされるセキュリティリスクを防ぐために、RAMユーザーに最小限の権限を付与できます。 このトピックでは、Alibaba CloudアカウントのRAMユーザーを作成し、ビジネス要件に基づいてRAMユーザーに権限を付与する方法について説明します。

    シナリオ

    エンタープライズAは、一部の従業員に日常的なO&Mタスクを処理したいと考えています。 このシナリオでは、エンタープライズAはRAMユーザーを作成し、RAMユーザーに必要な権限を付与できます。 その後、従業員はRAMユーザーとしてSAEコンソールにログオンできます。 SAEにより、エンタープライズAはRAMユーザーを使用して権限を管理し、請求書を分割できます。 エンタープライズAは、RAMユーザーの特定のコンソールでのログオン権限を管理することもできます。

    • セキュリティ上の理由から、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。 エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与することを好みます。
    • 権限が付与されたRAMユーザーのみがリソースを管理できます。 リソース使用量とコストは、RAMユーザーごとに個別に計算されません。 すべての費用は、エンタープライズAのAlibaba Cloudアカウントに請求されます。
    • エンタープライズAは、いつでもRAMユーザーの権限を取り消し、RAMユーザーを削除できます。

    ステップ1: RAMユーザーの作成

    1. にログインします。RAMコンソールAlibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用します。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。

    4. [ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。

      • ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。

      • 表示名: 表示名の長さは最大128文字です。

      • タグ: editアイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。

      説明

      ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。

    5. では、アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。

      Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。

      • コンソールアクセス

        RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。 これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。 コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。

        • コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。 パスワードは複雑さの要件を満たす必要があります。 詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。

        • パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。

        • MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドするか、RAMユーザーがMFAデバイスをバインドできるようにする必要があります。 詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。

      • OpenAPIアクセス

        RAMユーザーがプログラムを表している場合は、RAMユーザーにOpenAPI Accessを選択することを推奨します。 これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。 詳細については、「AccessKeyペアの取得」をご参照ください。

        重要

        RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 したがって、AccessKey secret はバックアップしておく必要があります。

    6. クリックOK.

    ステップ2: RAMユーザーに権限を付与する

    RAMユーザーに必要な権限が付与されると、RAMユーザーは関連するAlibaba Cloudリソースにアクセスできます。 このセクションでは、RAMコンソールの [ユーザー] ページでRAMユーザーに権限を付与する方法について説明します。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

    1. にログインします。RAMコンソールRAM管理者として

    3. On theユーザーページで必要なRAMユーザーを見つけ、権限の追加で、アクション列を作成します。

      image

      複数のRAMユーザーを選択し、ページ下部の [権限の追加] をクリックして、RAMユーザーに一度に権限を付与することもできます。

    4. [権限の追加] パネルで、RAMユーザーに権限を付与します。
      3. ポリシーを選択します。
        RAMユーザーにアタッチするポリシーをキーワードで検索し、そのポリシーをクリックして選択済みリストに追加します。
        • システムポリシー: システムポリシーはAlibaba Cloudによって作成および更新されます。 システムポリシーを使用することはできますが、変更することはできません。 RAMユーザーに粗いアクセス制御を実装する必要がある場合は、システムポリシーが適用されます。
        • カスタムポリシー: カスタムポリシーを作成、更新、および削除し、ポリシーの更新を維持できます。 カスタムポリシーは、RAMユーザーにきめ細かいアクセス制御を実装する必要がある場合に適用されます。
        説明

    6. クリック閉じる.

    次のステップ

    エンタープライズAの従業員は、次の方法を使用してRAMユーザーとしてSAEにアクセスできます。

    • 方法1: Alibaba Cloud管理コンソールを使用する
      1. ブラウザでRAMユーザーログインページを開きます。
      2. [RAMユーザーログイン] ページで、RAMユーザーのログイン名を入力し、[次へ] をクリックしてパスワードを入力し、[ログイン] をクリックします。
        説明 RAMユーザーのログイン名は、<$username >@<$ AccountAlias> または <$username >@<$ AccountAlia s>.onaliyun.com形式です。 <$AccountAlias> はRAMユーザーのエイリアスです。 エイリアスを指定しない場合、Alibaba CloudアカウントのIDが使用されます。 詳細については、「Alibaba Cloud管理コンソールへのRAMユーザーとしてのログイン」をご参照ください。
      3. Alibaba Cloud管理コンソールの上部ナビゲーションバーの検索ボックスにServerless Application Engineと入力し、SAEコンソールにアクセスします。
    • 方法2: API操作を呼び出す

      RAMユーザーのAccessKey IDとAccessKey secretを使用して、SAEにアクセスするAPI操作を呼び出します。