Simple Log Service:アクセス資格情報の設定

アクセス資格情報の種類

資格情報とは、ユーザーのIDを証明する情報のセットを指します。 ユーザーがシステムにログオンするときは、IDを認証するために正しい資格情報を提供する必要があります。 一般的に使用される資格情報は次のとおりです。

• 一時的なアクセス権限

  • Security Token Service (STS) トークンは、Alibaba CloudがResource access Management (RAM) ロールに対して提供する一時的なアクセス資格情報です。 有効期間とアクセス許可をカスタマイズできます。 詳細については、「」をご参照ください。STSとは何ですか?

  • 高いセキュリティが必要なシナリオでは、一時的なアクセス資格情報を使用することを推奨します。 一時的なアクセス資格情報は特定の期間内にのみ有効であるため、資格情報の漏洩を防ぐことができます。 一時的なアクセス資格情報は、きめ細かいアクセス制御をサポートし、過度のアクセス許可の脅威を軽減します。

• 長期アクセス資格情報

  • AccessKeyペアは、Alibaba CloudアカウントまたはRAMユーザーの長期アクセス資格情報です。 AccessKey ペアは、AccessKey ID と AccessKey Secret で構成されます。 詳細については、「アクセスキーの作成」をご参照ください。

  • 利便性が必要なシナリオでは、長期アクセス資格情報により、複数回の更新が不要になります。 ただし、長期アクセス資格情報は最も安全なオプションではないため、注意して使用するか、まったく使用しないことをお勧めします。

    重要

    • 長期アクセス資格情報を使用する場合は、四半期ごとにローテーションすることをお勧めします。 詳細については、「RAMユーザーのAccessKeyペアの回転」をご参照ください。

    • 長期アクセス資格情報が漏洩した場合、または使用されなくなった場合は、すぐに削除または無効にして、セキュリティリスクを最小限に抑えます。 詳細については、「RAMユーザーのAccessKeyペアの削除」をご参照ください。

一時的なアクセス資格情報の使用

SDKを一時的に使用してSimple Log Serviceにアクセスする必要がある場合は、STSサービスをリクエストすることで一時的なアクセス資格情報を取得できます。 この一時的な資格情報では、RAMユーザーキーを開示する必要はありません。

1. RAMユーザーの作成

2. RAMユーザーにシステムポリシーAliyunSTSAssumeRoleAccessを割り当てて、RAMロールを引き受けます。 詳細については、「RAM ロールへの権限の付与」をご参照ください。

3. 信頼できるAlibaba CloudアカウントのRAMロールを作成します。

4. RAMロールにSimple Log Serviceリソースへのアクセスを許可します。 詳細については、「RAMロールへの権限付与」および「Simple Log Serviceのカスタムポリシー」をご参照ください。

5. RAMユーザーを使用してAssumeRole APIを呼び出し、セキュリティトークン、AccessKey ID、AccessKeyシークレットなどのSTSの一時的な資格情報を取得します。

6. Simple Log Serviceにアクセスするための一時的な資格情報を使用してSDKを初期化します。 詳細については、「STS SDK For Pythonの呼び出し例」をご参照ください。

長期アクセス資格情報の使用

長期的なSimple Log Serviceアクセスが必要なセキュア環境のアプリケーションには、RAMユーザーのAccessKeyペア (AccessKey IDとAccessKey secret) が適しています。 詳細については、「アクセスキーの作成」をご参照ください。

1. RAMユーザーの作成

2. RAMユーザーにSimple Log Serviceリソースへのアクセス権を付与します。 詳細については、「RAMユーザーへの権限付与」および「Simple Log Serviceのカスタムポリシー」をご参照ください。

3. Linux、macOS、およびWindowsで環境変数を設定します。