リソースのデータセキュリティを確保するには、信頼できるユーザーのみがリソースにアクセスまたは管理できるように、ユーザーからServer Load Balancer (SLB) リソースへのアクセスを規制する必要があります。 SLBはリソースアクセス管理 (RAM) と統合されており、リソースへのアクセス許可を管理できます。
RAMは、アイデンティティを物理アイデンティティと仮想アイデンティティに分類します。 RAMはさまざまなタイプのIDを使用して、さまざまなユーザーの権限を管理します。
Alibaba Cloudアカウント
デフォルトでは、リソースにアクセスできるのはAlibaba Cloudアカウントのみです。 他のタイプのアカウントは、リソースにアクセスする前に必要な権限を取得する必要があります。
Alibaba Cloudアカウントの保護に役立つ次の項目に注意することをお勧めします。
必要がない限り、Alibaba Cloudアカウントを使用してAPIを呼び出したり、通常のO&Mを実行したりしないでください。 RAMユーザーを使用することを推奨します。 Alibaba CloudアカウントのAccessKeyペアを作成しないでください。 Alibaba Cloudは、AccessKeyペアをプレーンテキストとしてではなく、ソルトSHA-256ハッシュ値として保存します。
Alibaba Cloudアカウントを使用してRAMユーザーを作成し、必要に応じてRAMユーザーに権限を付与し、RAMユーザーを使用して他の操作を実行することを推奨します。
詳細については、「RAM ユーザーの作成」をご参照ください。
AccessKeyペアを厳密に秘密にしてください。 AccessKeyペアをコードに埋め込むなど、可能な形式で公開しないでください。
AccessKeyペアが90日以上使用されている場合は、漏洩した場合に備えてAccessKeyペアをローテーションすることを推奨します。
詳細については、「RAMユーザーのAccessKeyペアの回転」をご参照ください。
AccessKeyペアがGitHubにアップロードされているかどうかを確認する場合は、Security CenterのAccessKeyペアリーク検出機能を使用します。 AccessKeyペアのリーク検出機能は無料です。
Alibaba Cloudアカウントの有効なログイン時間を設定します。 指定された時間は1時間と24時間の間でなければなりません。 ログイン時間が指定された値に達すると、Alibaba Cloudアカウントは自動的にログオフされます。
詳細については、「セキュリティ設定の概要」をご参照ください。
Alibaba Cloudアカウントのログインマスクを設定します。 Alibaba CloudリソースにアクセスできるIPアドレスを指定できます。
Alibaba CloudアカウントとRAMユーザーの多要素認証を有効にします。 コンソールのログオンやリスクに敏感な操作には、セカンダリ認証が必須です。
RAMユーザーのAccessKeyペアは、AccessKeyペアを作成した場合にのみ表示されます。 RAMユーザーごとに最大2つのAccessKeyペアを作成できます。 各Alibaba Cloudアカウントは、最大5つのAccessKeyペアを作成できます。
RAMユーザーのパスワードの有効期間を指定し、パスワードの有効期限が切れたときにRAMユーザーがログオフされるかどうかを指定できます。
RAM ユーザー
RAMユーザーは、管理者権限を持つAlibaba Cloudアカウント、RAMユーザー、またはRAMロールによって作成されます。 RAMユーザーは、RAMユーザーが必要な権限を取得した場合にのみ、コンソールへのログインまたはAlibaba Cloudアカウント内のAlibaba Cloudリソースへのアクセスが許可されます。
複数のユーザーがリソースにアクセスする必要がある場合は、RAMユーザーを作成して権限を管理し、RAMユーザーに最小限の権限を付与することでアクセスを規制できます。 Alibaba CloudアカウントのパスワードまたはAccessKeyペアをRAMユーザーと共有する必要はありません。 これにより、アカウントのセキュリティが強化されます。
各RAMユーザーには、セキュリティリスクを最小限に抑えるために、個別のパスワードまたはAccessKeyペアを割り当てることができます。 また、職務に基づいてRAMユーザーに最小限の権限を付与することもできます。
RAMユーザーを作成するときに、複数のログオン方法を指定できます。 アカウントのセキュリティを確保するために、RAMユーザーごとに1つのログイン方法のみを指定することを推奨します。
たとえば、RAMユーザーを使用してアプリケーションを管理し、API操作を呼び出してリソースにアクセスする必要がある場合、RAMユーザーのAccessKeyペアを作成できます。 コンソールを使用してリソースにアクセスする必要がある従業員がRAMユーザーを使用している場合は、そのRAMユーザーのログインパスワードを作成できます。
RAMユーザーのシングルサインオン (SSO) を有効にして、RAMユーザーが企業のID管理システムからAlibaba Cloudリソースにログインしてアクセスできるようにすることもできます。
RAMロールクォータが使い果たされた場合、これ以上RAMロールを作成することはできません。 詳細については、「制限事項」をご参照ください。
RAM ユーザーグループ
複数のRAMユーザーがいる場合は、職務に基づいて異なるグループに追加できます。 これにより、RAMユーザーと権限を効率的に管理できます。
複数のRAMユーザーに同じ権限を付与する必要がある場合は、それらのRAMユーザーを同じグループに追加し、そのグループのポリシーを作成できます。 ポリシーがグループにアタッチされると、グループ内のすべてのRAMユーザーがポリシーを使用できます。
RAMユーザーの作業義務が変更された場合は、必要な権限を持つRAMユーザーグループにRAMユーザーを移動するだけで済みます。 これは他のRAMユーザーには影響しません。
RAMユーザーグループに権限が不要になった場合は、そのグループから権限を取り消すことができます。 権限が取り消されると、グループ内のすべてのRAMユーザーは、権限を必要とするリソースにアクセスできなくなります。 詳細については、「ユーザーグループからの権限の取り消し」をご参照ください。
RAMロール
RAMロールは、Alibaba Cloudが認識できるRAM IDの一種です。 RAMロールは、AccessKeyペアを持たない仮想IDであり、エンティティユーザーが引き受ける必要があります。 エンティティユーザーがRAMロールを引き受けると、ユーザーはRAMロールのSTS (Security Token Service) トークンを取得します。 STSトークンを使用して、対応するリソースにアクセスできます。
デフォルトでは、RAMロールは作成後に権限を持ちません。 RAMロールは、コンソールへのログオンやAPIの呼び出しに使用する前に、必要な権限を取得する必要があります。 詳細については、「RAMユーザーの権限付与」をご参照ください。
RAMロールのSTSトークンの有効期間を指定して、アクセス制御を実装できます。
詳細については、「STSとは何ですか? 」をご参照ください。
各RAMロールのセッション期間を指定して、RAMロールがセッションにログオンしたままの期間を制御できます。 指定された期間が経過すると、RAMロールはセッションからログオフされ、操作を実行できなくなります。
RAMロールのセッション期間を変更できます。 詳細については、「RAMロールの最大セッション期間の指定」をご参照ください。