すべてのプロダクト
Search

このプロダクト

    ApsaraVideo VOD:RAM ユーザーの作成および権限付与

    ドキュメントセンター

    ApsaraVideo VOD:RAM ユーザーの作成および権限付与

    最終更新日:Feb 10, 2026

    Alibaba Cloud アカウントのセキュリティを確保するため、従業員、システム、アプリケーションごとに個別の RAM ユーザーを作成し、最小権限の原則に従って必要なタスクを実行するために必要な最小限の権限のみを付与することを推奨します。RAM ユーザーの作成は無料です。RAM ユーザーが利用するリソースについては、ご利用の Alibaba Cloud アカウントに対して課金されます。本トピックでは、RAM コンソールおよび API を使用した RAM ユーザーの作成手順について説明します。

    前提条件

    Alibaba Cloud アカウントが作成済みであり、本人確認が完了している必要があります。Alibaba Cloud アカウントの作成については、Alibaba Cloud 公式ウェブサイトをご参照ください。詳細については、「Alibaba Cloud アカウントの作成」をご参照ください。

    RAM ユーザーの作成

    説明

    • ステップ 4 で、ログイン名vod に設定します。本トピックでは、例としてログイン名 vod を使用します。

    • ステップ 5 で、アクセスモードOpenAPI アクセス を選択します。

    操作手順

    コンソール

    1. Alibaba Cloud アカウントまたは RAM 管理者(たとえば、AliyunRAMFullAccess ポリシーをアタッチ済みのユーザー)として、RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、ID > ユーザー を選択します。

    3. ユーザー ページで、ユーザーの作成 をクリックします。

    4. ユーザーの作成 ページの ユーザーアカウント情報 セクションで、ユーザーの基本情報を設定します。

      • ログイン名 (必須):英字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_)を使用できます。最大 64 文字まで指定可能です。

      • 表示名 (任意):最大 128 文字まで指定可能です。

      • タグ (任意)edit アイコンをクリックして、タグキーとタグ値を入力します。タグは、RAM ユーザーの分類および管理に役立ちます。

      説明

      ユーザーの追加 をクリックすると、複数の RAM ユーザーを一度に作成できます。

    5. アクセスモード セクションで、ユーザーの種別に応じてアクセスモードを選択します。

      重要

      • セキュリティ上のベストプラクティスとして、ユーザーごとに 1 つのアクセスモードのみを選択することを推奨します。これにより、コンソールへのアクセスを必要とする人間ユーザーと、プログラムによるアクセスを必要とするアプリケーションとの間に明確な分離が図られます。

      • AccessKey ペアは、プログラムによるアクセスのための長期的な認証情報です。AccessKey ペアが漏洩した場合、アカウント内のすべてのリソースのセキュリティが脅かされます。認証情報の漏洩リスクを低減するため、一時的な認証情報としてセキュリティトークンサービス(STS)トークンの利用を推奨します。詳細については、「API 操作呼び出し時のアクセス認証情報の使用に関するベストプラクティス」をご参照ください。

      コンソールアクセス

      従業員などの人間ユーザーの場合は、コンソールへのアクセス を選択します。

      • ログインパスワードの設定:以下のパスワードオプションから 1 つを選択します。

        • デフォルトパスワードを自動再生成

        • カスタムパスワードをリセット:設定するカスタムパスワードは、パスワードの複雑性要件を満たす必要があります。

          詳細については、「RAM ユーザー向けパスワードポリシーの設定」をご参照ください。

      • パスワードのリセット:RAM ユーザーが次回ログイン時にパスワードをリセットする必要があるかどうかを指定します。

      • MFA の有効化:デフォルトでは、ログイン時に多要素認証(MFA)が必須です。この設定を変更するには、「RAM ユーザーのセキュリティ設定の管理」をご参照ください。RAM ユーザーは初回ログイン時に MFA デバイスをバインドする必要があります。詳細については、「RAM ユーザーへの MFA デバイスのバインド」をご参照ください。

      プログラムによるアクセス

      アプリケーションまたはシステムの場合は、永続的な AccessKey を使用したアクセス を選択します。

      このオプションを有効化すると、システムが RAM ユーザー用に AccessKey ID および AccessKey Secret を自動的に作成します。

      重要

      AccessKey Secret は、作成時にのみ表示され、その後は取得できません。これは、Secret を閲覧および保存できる唯一の機会です。直ちに安全な場所にコピーおよび保存するか、または CSV ファイルのダウンロード をクリックしてファイルをダウンロードしてください。 AccessKey ペアが漏洩した場合、アカウント内のすべてのリソースのセキュリティが脅かされます。「AccessKey ペアの作成」をご参照ください。

    API

    コンソールアクセス用 RAM ユーザーの作成

    1. GetDefaultDomain を呼び出して、アカウントのデフォルトログインサフィックスを取得します。形式は <AccountAlias>.onaliyun.com です。

    2. CreateUser を呼び出して RAM ユーザーを作成します。必須パラメーターは以下のとおりです。

      1. UserPrincipalName:RAM ユーザーのログイン名。形式は <username>@<AccountAlias>.onaliyun.com です。<username> は RAM ユーザーの名前、<AccountAlias>.onaliyun.com はデフォルトログインサフィックスです。

      2. DisplayName:RAM ユーザーの表示名。これは <username> とは異なる場合があります。

    3. CreateLoginProfile を呼び出して、ユーザーのログインプロファイルを作成します。これにより、コンソールへのアクセスが可能になります。一部のパラメーターの推奨設定は以下のとおりです。

      1. UserPrincipalName:前のステップで作成した RAM ユーザーのログイン名。

      2. Password:アカウントのパスワード複雑性要件を満たすパスワードを設定します。RAM ユーザー向けパスワードポリシーを照会するには、GetPasswordPolicy を呼び出します。

      3. MFABindRequired:RAM ユーザーに MFA を必須とする場合は、このパラメーターを true に設定することを推奨します。

      4. Status:パスワードによるコンソールログインを有効にするかどうかを指定します。デフォルト値 Active のままにしてください。

    プログラムによるアクセス用 RAM ユーザーの作成

    1. GetDefaultDomain を呼び出して、アカウントのデフォルトログインサフィックス(形式:<AccountAlias>.onaliyun.com)を取得します。

    2. CreateUser を呼び出して RAM ユーザーを作成します。必須パラメーターは以下のとおりです。

      1. UserPrincipalName:RAM ユーザーのログイン名。形式は <username>@<AccountAlias>.onaliyun.com です。<username> は RAM ユーザーの名前、<AccountAlias>.onaliyun.com はデフォルトログインサフィックスです。

      2. DisplayName:RAM ユーザーの表示名。これは <username> とは異なる場合があります。

    3. CreateAccessKey を呼び出して AccessKey ペアを作成します。前のステップで作成した RAM ユーザーの UserPrincipalName のみを指定する必要があります。

      重要

      CreateAccessKey API 操作は、AccessKey ID および AccessKey Secret を返します。これは、Secret を閲覧および保存できる唯一の機会です。直ちに安全な場所にコピーおよび保存してください。 AccessKey ペアが漏洩した場合、アカウント内のすべてのリソースのセキュリティが脅かされます。「AccessKey の作成」をご参照ください。

    重要

    OK をクリックすると、システムが RAM ユーザー用のログインパスワードおよび AccessKey ペア(AccessKey ID および AccessKey Secret)を生成します。ログインパスワードおよび AccessKey ペアは、安全な場所に保存してください。これらは後から取得できません。

    RAM ユーザーへの権限付与

    1. RAM コンソールで、ユーザー ページに移動します。vod ユーザーを検索し、操作 列の 権限の付与 をクリックします。

    2. 権限の付与 パネルで、RAM ユーザーに権限を付与します。

      説明

      vod ユーザーに AliyunVODFullAccess システムポリシーをアタッチすることを推奨します。このポリシーにより、ユーザーは ApsaraVideo VOD のすべてのリソースを完全に管理する権限を付与されます。ポリシーを検索するには、検索ボックスに AliyunVODFullAccess を入力します。ApsaraVideo VOD のシステムポリシーの定義および権限の詳細については、「システム承認ポリシー」をご参照ください。

      image

      • リソース範囲 を選択します。

        • アカウントレベル:権限は、現在の Alibaba Cloud アカウントに属するすべてのリソースに適用されます。

        • リソースグループレベル:権限は、指定されたリソースグループにのみ適用されます。リソースグループレベルで権限を付与する場合、RAM ユーザーはコンソールにログイン後に、上部のナビゲーションバーで該当のリソースグループに切り替える必要があります。それ以外の場合、ユーザーはそのグループ内のリソースにアクセスまたは管理できなくなります。

          説明

          1. システムは、AdministratorAccess や AliyunRAMFullAccess などの高リスクのシステムポリシーを自動的に識別します。これらのポリシーは、通常、すべてのクラウドリソースに対する完全制御または RAM の完全管理権限を付与します。これらの権限は、慎重に付与してください。

          2. リソースグループによる RAM ユーザーの承認方法の例については、「リソースグループを使用して RAM ユーザーを特定の ECS インスタンスの管理に限定する」をご参照ください。

      • 権限付与対象エンティティ を選択します。

        権限付与対象エンティティは、権限を付与する RAM ユーザーです。この操作を ユーザー ページで実行する場合、システムが自動的に現在の RAM ユーザーを選択します。この操作を 権限付与 ページで実行する場合、1 人以上の RAM ユーザーを手動で選択する必要があります。

      • 権限ポリシー を選択します。

        • システムポリシー:検索してシステムポリシーを選択します。検索のヒント:検索ボックスを使用して、ポリシーをすばやく検索できます。プロダクト名(例:ECSOSS)、権限レベル(例:ReadOnlyFullAccess)、または完全なポリシー名で検索できます。

        • カスタムポリシー:事前にカスタムポリシーを作成する必要があります。「カスタムポリシーの作成」をご参照ください。

      • 権限付与の確認 をクリックします。

    3. 権限付与結果を確認し、閉じる をクリックします。

    次のステップ

    後日、RAM ユーザーにコンソールログイン権限を付与する場合は、「RAM ユーザーのログイン設定の管理」をご参照ください。