すべてのプロダクト
Search
ドキュメントセンター

Security Center:アイデンティティと権限

最終更新日:Jul 23, 2024

このトピックでは、Alibaba CloudサービスのIDと権限の概念について説明します。

アイデンティティ

Alibaba Cloud IDは、物理エンティティと仮想エンティティに分類できます。

物理的エンティティ

物理エンティティは、固定されたIDおよびアイデンティティ証明書を有する。 これは、人、会社、またはアプリケーションを表すために使用されます。 物理エンティティのID資格情報は、ログインパスワードまたはAccessKeyペアにすることができます。 物理エンティティは、Alibaba CloudアカウントまたはRAM (Resource Access Management) ユーザーです。 物理エンティティは、次の方法を使用してAlibaba Cloudリソースにアクセスできます。

  • ユーザー名とパスワード、または多要素認証 (MFA) 方式を使用して、コンソールからクラウドリソースにアクセスします。

  • AccessKeyペアを使用してクラウドリソースにアクセスします。

AlibabaクラウドアカウントとRAMユーザーには異なる機能があります。 Alibaba Cloudリソースにアクセスする前に、次の項目に注意してください。

Alibaba Cloudアカウント

機能

  • Alibaba Cloudアカウントには、クラウドリソースのオペレーティングシステムに対するroot権限または管理者権限があります。

  • Alibaba Cloudアカウントは、そのアカウントで購入したすべてのリソースを完全に制御でき、リソースの請求書はそのアカウントで集計されます。

使用上の注意

セキュリティ上の理由から、Alibaba Cloudアカウントを使用してクラウドリソースを直接管理しないことを推奨します。

代わりに、Alibaba Cloudアカウントを使用してRAMユーザーを作成し、そのRAMユーザー (以下、管理ユーザー) に管理者権限を付与することを推奨します。 次に、管理ユーザーを使用して、他のRAMユーザーを作成および管理できます。

RAM ユーザー

機能

  • RAMユーザーがクラウドサービスコンソールにログインするか、API操作を呼び出す前に、Alibaba cloudアカウントまたは管理ユーザーによって承認されている必要があります。 権限付与後、RAMユーザーはAlibaba Cloudアカウントが所有するリソースを管理できます。

  • RAMユーザーはリソースを所有せず、個別に課金することはできません。 RAMユーザーによって生成された請求書は、RAMユーザーが属するAlibaba Cloudアカウントに集計されます。 RAMユーザーは、自分が属するAlibaba Cloudアカウント内でのみ表示できます。

使用上の注意

RAMユーザーは、O&Mエンジニアやアプリケーションなど、クラウドリソースを管理する物理エンティティを表します。 クラウドリソースへのアクセスと管理には、RAMユーザーを使用することを推奨します。

説明

RAMユーザーグループを使用して、RAMユーザーを分類および権限付与できます。 これにより、RAMユーザーとその権限を効率的に管理できます。

仮想エンティティ

仮想エンティティには、ログインパスワードやAccessKeyペアなどの固定ID資格情報はありません。 RAMロールは仮想エンティティと見なされます。 RAMロールを使用する前に、信頼できるAlibaba CloudアカウントのRAMユーザーでRAMロールを引き受ける必要があります。 信頼できるエンティティを使用してRAMロールを引き受けた後、RAMロールのSecurity Token Service (STS) トークンを取得します。 次に、STSトークンを使用して、RAMロールが権限を持つリソースにアクセスできます。

RAMロールは、信頼できるエンティティに基づいて3つのタイプに分類されます。

信頼できるエンティティ

説明

参照

Alibaba Cloud アカウント

このタイプのRAMロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。 これは、信頼できるAlibaba Cloudアカウントに属するRAMユーザーのみが引き受けることができます。 信頼できるAlibaba Cloudアカウントは、現在のAlibaba Cloudアカウントまたは別のAlibaba Cloudアカウントのいずれかです。

信頼できるAlibaba CloudアカウントのRAMロールの作成

Alibaba Cloud サービス

このタイプのRAMロールは、Alibaba Cloudサービス間のアクセスを許可するために使用されます。 これは、信頼できるAlibaba Cloudサービスによってのみ想定できます。

信頼できるAlibaba CloudサービスのRAMロールの作成

ID プロバイダ (IDP)

このタイプのRAMロールは、Alibaba Cloudと信頼できるIdP間でロールベースのシングルサインオン (SSO) を実装するために使用されます。 これは、信頼できるIdPのユーザーのみが想定できます。

信頼できるIdPのRAMロールの作成

権限

権限は、特定のリソースへのさまざまなユーザーIDのアクセスを制御するために使用されます。 権限を使用して、特定のリソースに対する特定の操作を許可するか拒否するかを制御できます。

物理エンティティの権限

物理エンティティ

デフォルトの権限

権限付与

説明

Alibaba Cloud アカウント

リソースに対する完全な権限

不要。

Alibaba Cloudアカウントは、自身が所有するリソースに対する完全な制御と権限を持っています。 RAMユーザーなどの他のユーザーは、Alibaba Cloudアカウントによって承認された後にのみリソースにアクセスできます。

RAM ユーザー

なし

RAMユーザーは、承認された後にのみ、コンソールまたはAPI操作を呼び出すことによってクラウドリソースにアクセスして使用できます。

Alibaba Cloudは、RAM IDにポリシーをアタッチすることで権限付与を実装します。 ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、許可されたリソースセット、許可された操作セット、および許可条件を記述できます。

RAM は、以下の 2 種類のポリシーをサポートしています。

  • システムポリシー: Alibaba Cloudによって作成および管理されます。 これらのポリシーは使用できますが、ポリシーを変更することはできません。

  • カスタムポリシー: お客様が作成および管理します。

RAMユーザーまたはRAMユーザーグループにポリシーをアタッチして、ポリシーで指定されたアクセス権限を付与できます。 詳細については、「RAMユーザーへの権限の付与」または「RAMユーザーグループへの権限の付与」をご参照ください。

仮想エンティティの権限

Alibaba CloudのRAMロールには、デフォルトでは権限がありません。

RAMロールは、信頼できるエンティティによって引き受けられ、承認された後にのみ、コンソールまたはAPI操作を呼び出すことによって、クラウドリソースにアクセスして使用できます。

RAMロールにポリシーをアタッチして、ポリシーで指定されたアクセス権限を付与できます。 詳細については、「RAMロールへの権限の付与」をご参照ください。

参考資料