アイデンティティと権限 - Security Center - Alibaba Cloud ドキュメントセンター

このトピックでは、Alibaba CloudサービスのIDと権限の概念について説明します。

アイデンティティ

Alibaba Cloud IDは、物理エンティティと仮想エンティティに分類できます。

物理的エンティティ

物理エンティティは、固定されたIDおよびアイデンティティ証明書を有する。これは、人、会社、またはアプリケーションを表すために使用されます。物理エンティティのID資格情報は、ログインパスワードまたはAccessKeyペアにすることができます。物理エンティティは、Alibaba CloudアカウントまたはRAM (Resource Access Management) ユーザーです。物理エンティティは、次の方法を使用してAlibaba Cloudリソースにアクセスできます。

ユーザー名とパスワード、または多要素認証 (MFA) 方式を使用して、コンソールからクラウドリソースにアクセスします。
AccessKeyペアを使用してクラウドリソースにアクセスします。

AlibabaクラウドアカウントとRAMユーザーには異なる機能があります。 Alibaba Cloudリソースにアクセスする前に、次の項目に注意してください。

Alibaba Cloudアカウント

機能

Alibaba Cloudアカウントには、クラウドリソースのオペレーティングシステムに対するroot権限または管理者権限があります。
Alibaba Cloudアカウントは、そのアカウントで購入したすべてのリソースを完全に制御でき、リソースの請求書はそのアカウントで集計されます。

使用上の注意

セキュリティ上の理由から、Alibaba Cloudアカウントを使用してクラウドリソースを直接管理しないことを推奨します。

代わりに、Alibaba Cloudアカウントを使用してRAMユーザーを作成し、そのRAMユーザー (以下、管理ユーザー) に管理者権限を付与することを推奨します。次に、管理ユーザーを使用して、他のRAMユーザーを作成および管理できます。

RAM ユーザー

機能

RAMユーザーがクラウドサービスコンソールにログインするか、API操作を呼び出す前に、Alibaba cloudアカウントまたは管理ユーザーによって承認されている必要があります。権限付与後、RAMユーザーはAlibaba Cloudアカウントが所有するリソースを管理できます。
RAMユーザーはリソースを所有せず、個別に課金することはできません。 RAMユーザーによって生成された請求書は、RAMユーザーが属するAlibaba Cloudアカウントに集計されます。 RAMユーザーは、自分が属するAlibaba Cloudアカウント内でのみ表示できます。

使用上の注意

RAMユーザーは、O&Mエンジニアやアプリケーションなど、クラウドリソースを管理する物理エンティティを表します。クラウドリソースへのアクセスと管理には、RAMユーザーを使用することを推奨します。

説明

RAMユーザーグループを使用して、RAMユーザーを分類および権限付与できます。これにより、RAMユーザーとその権限を効率的に管理できます。

仮想エンティティ

仮想エンティティには、ログインパスワードやAccessKeyペアなどの固定ID資格情報はありません。 RAMロールは仮想エンティティと見なされます。 RAMロールを使用する前に、信頼できるAlibaba CloudアカウントのRAMユーザーでRAMロールを引き受ける必要があります。信頼できるエンティティを使用してRAMロールを引き受けた後、RAMロールのSecurity Token Service (STS) トークンを取得します。次に、STSトークンを使用して、RAMロールが権限を持つリソースにアクセスできます。

RAMロールは、信頼できるエンティティに基づいて3つのタイプに分類されます。

信頼できるエンティティ	説明	参照
Alibaba Cloud アカウント	このタイプのRAMロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。これは、信頼できるAlibaba Cloudアカウントに属するRAMユーザーのみが引き受けることができます。信頼できるAlibaba Cloudアカウントは、現在のAlibaba Cloudアカウントまたは別のAlibaba Cloudアカウントのいずれかです。	信頼できるAlibaba CloudアカウントのRAMロールの作成
Alibaba Cloud サービス	このタイプのRAMロールは、Alibaba Cloudサービス間のアクセスを許可するために使用されます。これは、信頼できるAlibaba Cloudサービスによってのみ想定できます。	信頼できるAlibaba CloudサービスのRAMロールの作成
ID プロバイダ (IDP)	このタイプのRAMロールは、Alibaba Cloudと信頼できるIdP間でロールベースのシングルサインオン (SSO) を実装するために使用されます。これは、信頼できるIdPのユーザーのみが想定できます。	信頼できるIdPのRAMロールの作成

権限

権限は、特定のリソースへのさまざまなユーザーIDのアクセスを制御するために使用されます。権限を使用して、特定のリソースに対する特定の操作を許可するか拒否するかを制御できます。

物理エンティティの権限

物理エンティティ

デフォルトの権限

権限付与

説明

Alibaba Cloud アカウント

リソースに対する完全な権限

不要。

Alibaba Cloudアカウントは、自身が所有するリソースに対する完全な制御と権限を持っています。 RAMユーザーなどの他のユーザーは、Alibaba Cloudアカウントによって承認された後にのみリソースにアクセスできます。

RAM ユーザー

なし

RAMユーザーは、承認された後にのみ、コンソールまたはAPI操作を呼び出すことによってクラウドリソースにアクセスして使用できます。

Alibaba Cloudは、RAM IDにポリシーをアタッチすることで権限付与を実装します。ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。ポリシーを使用して、許可されたリソースセット、許可された操作セット、および許可条件を記述できます。

RAM は、以下の 2 種類のポリシーをサポートしています。

システムポリシー: Alibaba Cloudによって作成および管理されます。これらのポリシーは使用できますが、ポリシーを変更することはできません。
カスタムポリシー: お客様が作成および管理します。

RAMユーザーまたはRAMユーザーグループにポリシーをアタッチして、ポリシーで指定されたアクセス権限を付与できます。詳細については、「RAMユーザーへの権限の付与」または「RAMユーザーグループへの権限の付与」をご参照ください。

仮想エンティティの権限

Alibaba CloudのRAMロールには、デフォルトでは権限がありません。

RAMロールは、信頼できるエンティティによって引き受けられ、承認された後にのみ、コンソールまたはAPI操作を呼び出すことによって、クラウドリソースにアクセスして使用できます。

RAMロールにポリシーをアタッチして、ポリシーで指定されたアクセス権限を付与できます。詳細については、「RAMロールへの権限の付与」をご参照ください。

参考資料

RAMをサポートするAlibaba Cloudサービスと対応するシステムポリシーの詳細については、「RAMを使用するサービス」をご参照ください。
RAMでサポートされている基本的なポリシー要素と構文の詳細については、「ポリシー要素」と「ポリシー構造と構文」をご参照ください。