すべてのプロダクト
Search

このプロダクト

    Simple Log Service:RAMユーザーを作成し、RAMユーザーにSimple Log Serviceへのアクセスを許可する

    ドキュメントセンター

    Simple Log Service:RAMユーザーを作成し、RAMユーザーにSimple Log Serviceへのアクセスを許可する

    最終更新日:Aug 30, 2024

    RAMユーザーを作成し、そのRAMユーザーにSimple Log Serviceへのアクセスを許可すると、そのRAMユーザーを使用してSimple Log Serviceのリソースを管理できます。 このトピックでは、RAMユーザーを作成し、RAMユーザーにSimple Log Serviceへのアクセスを許可する方法について説明します。

    背景情報

    ビジネス要件に基づいて、O&MスタッフにSimple Log Serviceリソースを管理する権限を付与し、他のスタッフにSimple Log Serviceリソースにアクセスする権限を付与する必要がある場合があります。 この場合、RAMユーザーを作成し、RAMユーザーに必要な権限を付与できます。 その後、O&Mスタッフなどの関連スタッフは、RAMユーザーとしてSimple Log Serviceリソースにアクセスできます。 データのセキュリティ上の理由から、RAMユーザーに権限を付与する場合は、最小権限 (PoLP) の原則に従うことをお勧めします。 RAMユーザーの詳細については、「概要」をご参照ください。

    ステップ1: RAMユーザーの作成

    手順

    1. RAMコンソールAlibaba Cloudアカウントまたは管理者権限を持つRAMユーザーを使用します。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。

    4. [ユーザーの作成] ページの [ユーザーアカウント情報] セクションで、次のパラメーターを設定します。

      • ログオン名: ログオン名の長さは最大64文字で、英数字、ピリオド (.) 、ハイフン (-) 、アンダースコア (_) を使用できます。

      • 表示名: 表示名の長さは最大128文字です。

      • タグ: editアイコンをクリックして、タグキーとタグ値を入力します。 RAMユーザーに1つ以上のタグを追加できます。 これにより、タグに基づいてRAMユーザーを管理できます。

      説明

      ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。

    5. アクセスモードセクションでアクセスモードを選択し、必要なパラメーターを設定します。

      Alibaba Cloudアカウントのセキュリティを確保するため、RAMユーザーには1つのアクセスモードのみを選択することを推奨します。 これにより、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。

      • コンソールアクセス

        RAMユーザーが個人を表す場合は、RAMユーザーに対してコンソールアクセスを選択することを推奨します。 これにより、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。 コンソールアクセスを選択した場合、次のパラメーターを設定する必要があります。

        • コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。 [カスタムパスワードのリセット] を選択した場合、パスワードを指定する必要があります。 パスワードは複雑さの要件を満たす必要があります。 詳細については、「RAMユーザーのパスワードポリシーの設定」をご参照ください。

        • パスワードリセット: RAMユーザーが次回のログイン時にパスワードをリセットする必要があるかどうかを指定します。

        • MAFを有効にする: RAMユーザーの多要素認証 (MFA) を有効にするかどうかを指定します。 MFAを有効にした後、MFAデバイスをRAMユーザーにバインドするか、RAMユーザーがMFAデバイスをバインドできるようにする必要があります。 詳細については、「MFAデバイスをRAMユーザーにバインドする」をご参照ください。

      • OpenAPIアクセス

        RAMユーザーがプログラムを表している場合は、RAMユーザーにOpenAPI Accessを選択することを推奨します。 これにより、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。 OpenAPI Accessを選択すると、RAMユーザーのAccessKey IDとAccessKeyシークレットが自動的に生成されます。 詳細については、「AccessKeyペアの取得」をご参照ください。

        重要

        RAMユーザーのAccessKeyシークレットは、[AccessKeyの作成] をクリックした後にのみ表示されます。 その後の操作で AccessKey secret のクエリを実行することはできません。 したがって、AccessKey secret はバックアップしておく必要があります。

    6. OK.

    7. プロンプトに従って完全なセキュリティ検証。

    ステップ2: RAMユーザーに権限を付与する

    RAM ユーザーにはデフォルトでは権限がありません。 RAMユーザーを作成した後、RAMユーザーが関連する操作を実行する前に、RAMユーザーにシステムポリシーまたはカスタムポリシーをアタッチする必要があります。 Resource Access Management (RAM) は、Simple Log Serviceに次の2つのシステムポリシーを提供します。

    • AliyunLogFullAccess: すべてのSimple Log Serviceリソースを管理するための権限。

    • AliyunLogReadOnlyAccess: すべてのSimple Log Serviceリソースに対する読み取り専用権限。

    システムポリシーがビジネス要件を満たしていない場合は、カスタムポリシーを作成して、きめ細かいアクセス制御を実装できます。 詳細については、「カスタムポリシーの作成」をご参照ください。 ポリシーの例については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」および「概要」をご参照ください。

    AliyunLogReadOnlyAccessポリシーをRAMユーザーにアタッチするには、次の手順を実行します。

    1. RAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページでRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

    4. [権限の追加] パネルで、AliyunLogReadOnlyAccessポリシーを選択し、[OK] をクリックします。

    5. 承認結果を確認し、[完了] をクリックします。

    次のステップ

    RAMユーザーとしてAlibaba Cloud管理コンソールにログインします