Alibaba Cloud Resource Access Management (RAM) は、ID およびアクセス制御サービスです。ユーザー (従業員、システム、アプリケーションを含む) を一元管理し、アクセス権限レベルによってリソースへのアクセスを安全に制御できます。 そのため、RAM を使用すると、特別な権限を持つように選定されたユーザーや企業内担当者、パートナーに対してのみ、Alibaba Cloud リソースへのアクセス権限を安全に付与できます。 これにより、クラウドリソースを安全かつ適切に使用できるようになり、お客様のアカウントを不要なアクセスから保護できます。
メリット
-
強化されたセキュリティ
多要素認証 (MFA) 技術を活用し、アカウントを確実に保護します。
-
使いやすさ
Web ベースの Alibaba Cloud 管理コンソールや API を使用して、簡単に RAM にアクセスして設定できます。
-
Alibaba Cloud サブスクリプションの無料サービス
追加料金を支払うことなく一元管理が可能です。RAM ユーザーが使用した他のサービスに対してのみ課金されます。
1 つのエンタープライズアカウントに複数のアカウントが存在する場合、すべてのユーザーによるリソース操作の実行で発生した費用は一括請求されます。
-
一元管理
RAM ユーザー、グループ、およびロールの作成、管理、名前の変更、削除、必要な権限の付与を行えます。
Alibaba Cloud リソースに対するアクセス権限と ID 資格情報の統合管理を使用できます。
必要に応じて、複数リソースまたはユーザーアカウント権限の取り消しを行えます。
機能
-
ID 管理
ユーザー ID の管理
プライマリアカウントを使用してユーザー ID の作成と管理を行い、アクセス権限を付与します。
多要素認証
ユーザーのパスワードを安全に保ち、仮想ホストのシャットダウンなどの特別なアクセス権限を割り当てるため、TOTP プロトコル標準 (RFC 6238) に準拠する MFA デバイスをサポートしています。
独立したパスワードポリシー管理
ユーザーが作成するパスワードの強度に関するポリシーを作成し、許容されるログイン試行回数、パスワードの有効期間などのパスワードポリシーを設定できます。
ユーザーグループ
複数のユーザーに同じ権限を割り当てるため、ユーザーグループを作成して管理します。
アクセスキー
コンソールで操作を実行する必要があるユーザーに対してアクセスキーを設定します。プログラムからのアクセスが必要なユーザーに対する API アクセスキーの設定も可能です。
-
SSO (アイデンティティ統合)
ユーザーベース SSO
SAML アサーションで RAM ユーザーを指定し、指定された RAM ユーザーで Alibaba Cloud にアクセスするように IdP を設定できます。
ロールベース SSO
SAML アサーションで RAM ロールを指定し、 指定された RAM ロールで Alibaba Cloud にアクセスするように IdP を設定できます。
-
アクセス管理
実行権限
一定の条件下で、特定のリソースに対する一定の操作の実行を許可または拒否するための権限を設定できます。
カスタムアクセス管理
カスタムポリシーを使用してユーザー権限を効果的に管理できます。
グループ権限
グループ権限メカニズムを使用することでシナリオごとのアクセス管理が可能となり、権限管理に関連する負荷を軽減できます。
ユーザーアクセス管理
お客様のアカウントや他の Alibaba Cloud アカウントのユーザーに対し、ユーザーまたはユーザーグループのアクセスを付与できます。
-
セキュリティトークンサービス
アクセス権限
セキュリティトークンサービスにより、モバイルクライアントに対して特定のクラウドリソースへのアクセス権限が付与されるため、モバイル顧客はクラウドリソースに直接アクセスできます。
カスタムの信頼性
トークンの有効期間をカスタマイズして、セキュリティを強化できます。
-
高い柔軟性
きめ細かいアクセス管理
単一のリソースに対する 1 つまたは複数の操作についてアクセス権限を付与できます。たとえば、リソースの所有者はリソースの作成、操作の実行あるいは削除を行う権限を付与できます。
多次元アクセス管理
IP、時間などの要素に基づいてアクセス権限を制限できます。
バージョン管理メカニズム
認証ポリシーごとに複数のバージョンを保持して、意図せずにポリシーを削除してしまうリスクを排除します。
-
利用方法と請求
無料
RAM は追加費用なしで提供されます。 RAM ユーザー / ロールで使用する他の Alibaba プロダクト / サービスに対してのみ課金されます。
一括請求
すべての RAM ユーザー / ロールで実行されたリソース処理の費用は、アカウントに一括請求されます。
利用方法
企業ユーザーアカウントの管理と権限の割り当て
ある企業では、ECS / RDS / SLB インスタンスや OSS バケットなど、複数のクラウドリソースを購入済みのプロジェクトを運用しています。さまざまな責任と権限を持つ従業員が、さまざまな操作を実行する必要があります。社員ごとに個別のユーザーアカウントやオペレーターアカウントを割り当てれば、権限のあるリソース操作のみを実行できます。この方法により、企業はセキュリティを損なうことなく、任意のユーザーアカウントの権限の付与 / 取り消しがいつでも可能です。 また、リソース操作の費用は、プライマリアカウントである企業に一括請求されます。
モバイルアプリに対する一時的なアクセス管理
ある企業では、すべてのアプリに対して AppServer を使用したデータ伝送を許可することは考えていませんでした。しかし、モバイルアプリはモバイルデバイス上で実行され、そのデバイスを制御することは不可能です。また、各アプリに付与されるアクセストークンの権限を最小限とし、アクセス時間を短縮することでセキュリティリスクを最小限に抑えたいとも考えていました。
企業間のリソース操作とアクセス管理
A 社は複数のクラウドリソースを購入し、クラウドリソースの O&M、モニタリング管理などのタスクを B 社に許可しています。B 社は A 社のリソースへのアクセス権限を 1 人以上の社員に割り当てることができます。B 社は、社員が A 社のリソースに対して実行可能な操作を厳密に制御する必要があります。O&M 委託契約が取り消された場合、A 社は B 社の権限を自由に取り消せることが必要です。
よくあるご質問
1. Alibaba Cloud RAM の利用を開始するにはどうすればよいですか。
Alibaba Cloud にサインアップすると、Web ベースの Alibaba Cloud 管理コンソール、または (プログラムによるアクセス用の) RAM API を使用してユーザーとグループを作成し、さまざまなリソースにアクセスするための権限を割り当てることができます。
2. サブユーザーはどのような方法で Alibaba Cloud 管理コンソールにサインインできますか。
ログインページにアクセスするか、または管理コンソールダッシュボード上のリンクを参照してください。
3. どの Alibaba Cloud プロダクトおよびサービスで RAM 統合がサポートされていますか。
「RAM をサポートする Alibaba Cloud サービス」をご参照ください。
4. RAMロールとは何ですか。
RAM ロール は仮想ユーザー (シャドウアカウント) または RAM ユーザーの一種です。このユーザーには固定のアイデンティティがあり、ポリシーを付与できます。 ただし、RAM ロールは、許可された実際のユーザーが実行する必要があります。
5. 新規の RAM ユーザーにはどの操作権限が付与されますか。
デフォルト設定では、新規の RAM ユーザーには操作の権限がありません。RAM ユーザーはオペレーターであり、操作の実行には明示的な承認が必要です。 ユーザーは、許可された後でなければ RAM コンソールや API を使用したリソースの操作を実行できません。
6. ポリシーとは何ですか。
ポリシーは、ポリシー言語を使用して記述される権限の集まりです。ポリシーにより、承認済みのリソース群、操作群、ならびに承認条件を厳密に定義できます。
7. Alibaba Cloud でサポートされているシステムポリシーをすべて表示するにはどうすればよいですか。
Alibaba Cloud でサポートされているシステムポリシーをすべて表示するには、RAM コンソールにログインし、[ポリシー] ページに移動すると、全システムポリシーのリストが表示されます。
8. RoleARN とは何ですか。
RoleARN はロールを指定するグローバルリソース記述子です。 RoleARN は、Alibaba Cloud の ARN 命名規則に従っています。
たとえば、Alibaba Cloud アカウントの devops ロールのRoleARN は、acs:ram:: acs:ram::1234567890123456:role/devops です。
9. 複数のバージョンがあるポリシーを削除するにはどうすればよいですか。
複数回編集して保存されたポリシーには、いくつかのバージョンが添付されます。 これらを RAM コンソールから削除すると、残ったデフォルトのポリシーを削除できます。この方法により、Alibaba Cloud アカウントからポリシーが完全に削除されます。
10. 一般的に使用される権限はどのように割り当てますか。
Alibaba Cloud では、RAM のユーザー、グループおよびロールにアタッチできる、一般的に使用される一連の権限で構成されるシステムポリシーが用意されています。このポリシーは、ECS の読み取り専用権限や ECS に対するすべての権限など、Alibaba Cloud で作成と管理が行われる一連の包括的な権限セットです。 これらのポリシーは、使用できますが変更はできません。
11. カスタムポリシーを作成するにはどうすればよいですか。
1. RAMコンソールにアクセスし、 [ポリシー] を選択します。
2. [ポリシーの作成] をクリックします。
3. リストからテンプレートを選択します (AliyunOSSReadOnlyAccess など) 。
4. 必要に応じて、ポリシーの名称、備考、内容を編集します。
5. 必要な変更を行った後、[OK] をクリックするとカスタムポリシーが作成されます。
12. ポリシーをグループにアタッチするにはどうすればよいですか。
1. RAM コンソールにログオンし、 [ID] > [グループ] を選択します。
2. グループの選択後、[権限の追加] をクリックして [権限の追加] ページに移動します。
3. 関連するポリシーの名前を選択してグループに権限を付与します。
13. 複数の RAM ユーザーに同じ権限セットを割り当てるにはどうすればよいですか。
RAM グループにポリシーをアタッチできます。 グループ内のすべてのユーザーに、グループに関連付けられた権限が付与されます。
14. RAM ユーザーのセキュリティ資格情報にはどのような種類がありますか。
RAM ユーザーは、API を使用して、またはアクセスキーを使用して Alibaba Cloud 管理コンソールにログインすることで、クラウドサービスにアクセスできます。また、多要素認証 (MFA) を有効化することもできます。その場合は、ユーザー名とパスワードの入力後、別の確認コード (ユーザーの MFA デバイスによって提供される 2 番目のセキュリティ要素) が必要になります。 アカウントにセキュリティレイヤーが 1 つ追加されます。