プロダクト紹介
Resource Access Managementとは
Resource Access Management (RAM) は、ユーザー ID の管理とアクセス制御のための Alibaba Cloud サービスです。 RAM を 使用すると、ユーザーアカウント (従業員、システム、アプリケーションなど) を作成および管理し、Alibaba Cloud アカウントのリソースに対してそのユーザーアカウントが所有する操作権限を制御できます。 企業の複数のユーザーが共同でリソースを操作する必要がある場合、 RAM により、Alibaba Cloud アカウントのアクセスキーを他のユーザーと共有する必要がなくなります。 ユーザーには作業に必要な最小限の権限を付与できるため、企業のセキュリティリスクが軽減されます。
ID 管理とアクセス制御
RAM を使用すると、Alibaba Cloud アカウントで複数のユーザー ID を作成および管理できます。また、異なる権限付与ポリシーを異なる ID や ID グループに割り当てて、 異なるリソースアクセス権限を異なるユーザーに付与することができます。
ID 管理
RAM ユーザー ID は、コンソールまたは Open API を使用して Alibaba Cloud リソースに対する操作を実行するユーザー、システム、またはアプリケーションを示します。 さまざまな適用シナリオにおける ID 管理に対応するために、RAM には RAM-User と RAM-Role の 2 つのユーザー ID タイプが用意されています。
- RAM-User は、固定の ID と ID 認証アクセスキーを持つ実際の ID であり、 一般的には、特定のユーザーまたはアプリケーションに対応します。
- RAM-Role は仮想 ID であり、固定の ID は持っていますが、ID 認証情報アクセスキーを持ちません。
RAM-Role を使用するには、実際の ID に関連付ける必要があります。 RAM-Role は複数の実際の ID と関連付けることができます。例:現在の Alibaba Cloud アカウントの RAM-User、 別の Alibaba Cloud アカウントの RAM-User、Alibaba Cloud サービス (例: EMR、MTS)、外部の実際の ID (例: ローカルエンタープライズアカウント) の RAM-Userなど。
権限付与
RAM を使用すると、Alibaba Cloud アカウントで複数の権限付与ポリシーを作成および管理できます。 基本的には、各権限付与ポリシーは権限のコレクションであり、 管理者が、1 つ以上の権限付与ポリシーを RAM ユーザー (RAM-User、RAM-Role など) に割り当てることができます。
RAM の権限付与ポリシー言語によって、権限付与ポリシーの内容を詳細に記述します。 ポリシーによって権限を API 操作とリソース ID に付与し、複数の制限 (例: ソース IP、アクセス時間、MFA) を指定できます。
Alibaba Cloud アカウントと RAM ユーザー
- 所有権の観点に基づくと、Alibaba Cloud アカウントとそのアカウントの RAM ユーザーは親子関係にあります。
- Alibaba Cloud アカウントは、Alibaba Cloud リソースの所有権とリソース消費の請求を確認するための基本エンティティです。
- RAM ユーザーは、特定の Alibaba Cloud アカウントの RAM インスタンスにのみ存在します。 RAM ユーザーはリソースを所有しません。付与された権限でユーザーが作成したリソースは親アカウントに属します。 また、RAM ユーザーに課金されることもありません。許可された操作によって発生した費用はすべて、親アカウントに請求されます。
- 権限の面では、Alibaba Cloud アカウントとそのアカウントの RAM ユーザーの間には、(Linux のように) root とユーザーの関係があります。
- root はリソースに対するすべての操作と制御の権限を持ちます。
- RAM ユーザーは root によって付与された権限しか持ちません。 さらに、root はユーザーに付与した権限をいつでも取り消すことができます。
RAM を使用してエンタープライズレベルのクラウドリソース管理
RAM は、次のエンタープライズシナリオに適用されます
- エンタープライズは、各オペレータ(またはアプリケーション)のアカウントと権限を簡単に管理する必要があります。
- 企業は、各オペレーター(またはアプリケーション)の費用と料金を別々に計算したくありません。
ラーニングパス
RAMの専門家になるために必要な知識は、RAM ラーニングパス を参考してください。
基本概念
サービスの理解を深めるため、RAM の関連概念について説明します。
Alibaba Cloud アカウント
Alibaba Cloud アカウント (プライマリアカウント) は、Alibaba Cloud リソースの所有権とリソース消費の請求を確認するための基本エンティティです。 Alibaba Cloud サービスを使用するには、先に Alibaba Cloud アカウントに登録しておく必要があります。 Alibaba Cloud アカウントには、そのアカウントのリソースすべての料金が請求され、そのリソースに対する完全な権限が付与されています。
デフォルトでは、リソースにアクセスできるのはリソースオーナーだけです。 他のユーザーがリソースにアクセスするには、オーナーから明示的に権限が付与されていなければなりません。 したがって、権限管理の観点から見た場合、Alibaba Cloud アカウントは、オペレーティングシステムの root または管理者アカウントと似ており、root アカウント、 プライマリアカウント とも呼ばれます。
Alibaba Cloud アカウントのエイリアス
RAM では、各 Alibaba Cloud アカウントにグローバルに一意なエイリアスを設定できます。 エイリアスは主に RAM ユーザーのログオンに使用され、正常にログオンすると表示されます。
たとえば、Alibaba Cloud アカウント admin@abc.com に対してエイリアス abc.com が設定されている場合、RAM ユーザー Alice が Alibaba Cloud コンソールに正常にログオンすると、表示名は alice@abc.com になります。 alice@abc.com.
ID 資格情報
ID 資格情報は、ユーザーの実際の ID を認証するときに使用され、 通常は、ユーザーのログオンパスワードまたはアクセスキーを指します。 機密情報であるため、だれにも知られないようにする必要があります。
- ログオン名/パスワードログオン名とパスワードを使用すると、Alibaba Cloud コンソールへのアクセス、注文内容または請求書の確認、リソースの購入、リソース操作の実行を行うことができます。
- アクセスキーアクセスキーを使用すると、リソース操作を実行するための API リクエストを作成 (またはクラウドサービス SDK を使用) できます。
- 多要素認証多要素認証 (MFA) は、 ユーザー名とパスワードのほかに追加のセキュリティ保護を提供できる、シンプルながらも効果的なベストプラクティスです。 MFA を有効にすると、 ユーザーは Alibaba Cloud Web サイトにログオンするとき、ユーザー名とパスワード (1 番目のセキュリティ要素) を入力した後に、MFA デバイスによって提供される毎回変わる認証コード (2 番目のセキュリティ要素) を入力する必要があります。 このすべての要素が連携することで、アカウントのセキュリティ保護がさらに強化されます。
RAM ユーザー
RAM では、(企業の従業員、システム、アプリケーションに対応する) 複数の RAM ユーザーを Alibaba Cloud アカウントで作成できます。 RAM ユーザーはリソースを所有せず、個別に課金されることはありません。 ユーザーの管理と支払いは Alibaba Cloud アカウントごとに行われます。 RAM ユーザーは Alibaba Cloud アカウントに属しており、このアカウントでのみ表示できます。 また、独立した Alibaba Cloud アカウントではありません。 Alibaba Cloud アカウントから権限付与された後にのみ、Alibaba Cloud アカウントの下で、コンソールにログオンすることや、API を使用してリソースで操作を実行することができます。
RAMは、RAM-UserとRAM-Roleの2種類のIDをサポートします。
- RAM-Userは、IDが固定されたIDであり、 一般に特定の人物やアプリケーションに対応します。
- RAMロールは、固定アイデンティティクレデンシャルを持たない仮想アイデンティティです。 RAMロールは、実際のIDに関連付けて使用可能にする必要があります。
RAM ロール
伝統的なロール(テキストブックのロール)は一連のアクセス許可の集まりで、RAMのポリシーと 似たものです。 ユーザーにロールが割り当てられている場合、ユーザーには一連のアクセス許可が与えられ、ユーザーは認可されたリソースにアクセスすることが可能です。
RAMのロールはテキストブックのロールとは異なります。 RAMロールは仮想ユーザー(またはシャドウアカウント)で、 RAMユーザーの一種です。 このタイプの仮想ユーザーは固定IDを持ち、アクセス許可のセットを割り当てることもできます(ポリシー)が、ユーザーには固定ID認証キー(ログオンパスワードまたはアクセスキー)が無い状態です。 RAMロールと通常のRAMユーザーの違いは、使用方法にあります。 RAMロールは権限付与されたエンティティユーザーによってプレイする必要があります。 プレイが成功したら、エンティティユーザーはRAMロールの一時的なセキュリティトークンを取得できます。 一時的なセキュリティトークンを使用して、ロールアイデンティティとして認可されたリソースにアクセスすることが可能です。
RAMロールとテキストブックロールの違いは次のとおりです。
- (類似点) RAMロールとテキストブックロールは両方とも権限セットにバインドできます。
- (相違点) RAM-Role は仮想 ID またはシャドウアカウントであり、 独立した ID を持ちます。 RAMロールには権限をバインドし、このロールのユーザーのリスト (ロールプレイヤー) を指定する必要があります。 RAMロールは、主に、 IDフェデレーションの問題を解決するときに使用されます。 テキストブックロールは、一般的には権限セットのみを示します。 これは ID ではなく、主に権限付与の管理を簡素化する目的で使用されます。
RAMロールのロール 想定と切り替え - ログオン ID からロール ID への切り替え (SwitchRole):このロールに既に関連付けられている実際のユーザー (RAM-User など) は、コンソールにログオンした後に、 ロールへの切り替えが可能です。 ロールへの切り替えは、一度に 1 ロールずつ行う必要があります。 ログオン ID からロール IDに切り替えると、 使用できるのはそのロール ID にバインドされている権限だけになり、 ログオン ID にバインドされている権限は使用できなくなります。 ログオン ID の権限を使用する必要がある場合は、ロール ID からログオン ID に戻す必要があります。
- ロールを引き受けるプログラムの呼び出し (AssumeRole):RAMロールに関連付けられている実際のユーザー (RAMユーザーなど) は、 アクセスキーを使って STS サービスの AssumeRole インターフェイスを呼び出して、この RAMロールの一時的な アクセスキーを入手できます。 一時的なアクセスキーには有効期間と制限付きアクセス権限があります (ロールにバインドされている権限セットを超えることはありません)。 一般的に、一時的なアクセスキーは、一時的な権限付与の問題を解決するときに使用されます。
リソース
リソースは、クラウドサービスからユーザーに提供されるオブジェクトを抽象化したもので、ユーザーとのやり取りに使用されます。OSS バケットやオブジェクト、ECS インスタンスなどがあります。
各リソースには、グローバル Alibaba Cloud Resource Name (ARN) が定義されています。 形式は次のとおりです。
acs:<service-name>:<region>:<account-id>:<resource-relative-id>
形式の説明
- acs: Alibaba Cloud Service の略語です。Alibaba Cloud パブリッククラウドプラットフォームを示します。
- service-name: Alibaba Cloud が提供するオープンサービスの名前です (ecs、oss、odps など)。
- region: リージョン情報です。 このオプションに対応していない場合は、代わりにワイルドカード “*” を使用します。
- account-id: アカウント ID です 例:
1234567890123456 - resource-relative-id: サービス関連のリソースです。 その意味は特定のサービスによって指定されます。 たとえば OSS の場合、
acs:oss::1234567890123456:sample_bucket/file1.txtは、 パブリッククラウドプラットフォームの OSS リソースであることを示します。ここで、sample_bucket/file1.txtは OSS オブジェクト名で、1234567890123456はオブジェクトオーナーです。
権限
権限を使用すると、特定のクラウドリソースに対する特定のユーザー操作を許可または禁止できます。
操作は、主に、リソース制御操作とリソース使用操作の 2 つのカテゴリに分類できます。
- リソース制御操作とは、ECS インスタンスの作成、停止、再起動、OSS バケットの作成、変更、削除など、クラウドリソースのライフサイクル管理や O&M 管理の操作を指します。 リソース制御操作は、一般的に、組織のリソース購入者や O&M 担当者を対象としています。
- リソース使用操作とは、ECS インスタンスオペレーティングシステムでのユーザー操作、OSS バケットデータのアップロード/ダウンロードなど、 リソースのコア機能の使用を指します。 リソース使用操作は、組織の R&D 担当者やアプリケーションシステムを対象としています。
注:エラスティックコンピューティングプロダクトやデータベースプロダクトの場合、リソース制御操作は RAM を使用して管理できますが、 リソース使用操作は各プロダクトインスタンスで管理できます。 (例:ECS インスタンスの OS 権限制御、MySQL データベースの権限制御など)。 OSS、Table Store などのストレージタイプのプロダクトについては、 リソース制御操作とリソース使用操作の両方を RAM で管理できます。
ポリシー
ポリシーとは、権限セットを記述するシンプルな言語仕様のタイプです。 RAM がサポートする言語仕様については、ポリシー構文の構造 を参照してくださいポリシーの構文構造。 RAM は、システムアクセスポリシーとカスタマイズアクセスポリシーの 2 種類の権限付与ポリシーに対応しています。
- Alibaba Cloud によって管理されているシステムアクセスポリシーは、使用できますが、変更することはできません。 システムアクセスポリシーのバージョンは自動的に更新されます。
- お客様が管理するカスタマイズアクセスポリシーについては、作成したり削除したりできます。 また、ポリシーのバージョンは、お客様自身で管理する必要があります。
使用制限
| リソース | 制限 |
|---|---|
| ユーザー数 | 100 |
| グループ数 | 50 |
| RAMユーザーが参加できるグループ数 | 5 |
| RAMユーザーが作成できるAccessKey数 | 2 |
| RAMユーザーが使用できるバーチャルMFAデバイス数 | 1 |
| バーチャルMFAデバイス総数 | 100 |
| カスタムポリシー総数 | 200 |
| カスタムポリシーのバージョン数 | 5 |
| ユーザーに権限付与ポリシーを付けられる数 | 5 |
| グループに権限付与ポリシーを付けられる数 | 5 |
| ユーザー名の長さ | 64 |
| グループ名の長さ | 64 |
| 権限付与ポリシー名の長さ | 128 |
| ロール名の長さ | 64 |
| ロール数 | 100 |
| エイリアスの長さ | 3-64 |
| カスタムポリシーの長さ | 2048 |
RAM をサポートする Alibaba Cloud サービス
このトピックでは、Resource Access Management (RAM) と Security Token Service (STS) をサポートする Alibaba Cloud サービス、各サービスでサポートされている許可レベルとポリシー、およびサービスへのリンクを示します。
RAM と統合されているプロダクトの場合、次の許可レベルに従って、適切な権限が RAM ユーザーに付与されます。
- サービス:RAM ユーザーはクラウドサービスレベルで許可されます。 RAM ユーザーは、クラウドサービスに対するフル操作権限を持つか、操作権限を一切持たないかのいずれかです。
- 操作:RAM ユーザーは、API レベルで許可されます。 RAM ユーザーは、特定のクラウドサービス上の特定のリソースに対して特定の操作を実行できます。
- リソース:RAM ユーザーは、リソース操作レベルで許可されます。 たとえば、クラウドサーバーを再起動する権限を RAM ユーザーに付与できます。 「リソース」は、RAM の中で最も細かい許可レベルです。
サポートされるサービス
次の表は、RAM と STS をサポートするクラウドサービスの詳細、および参照情報を示しています。
注:二重丸印(◎)は使用できる機能、バツ印 (×) は使用できない機能、丸印 (○) は適用されない機能であることを示します。
エラスティックコンピューティング
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Elastic Compute Service (ECS) | ◎ | ◎ | ◎ | ◎ | リソース |
|
Authorization rules |
| Auto Scaling | ◎ | ◎ | ◎ | ◎ | サービス |
|
API usage instructions |
| Container Service | ◎ | ◎ | × | ◎ | サービス |
|
サブアカウントの使用 |
| Container Registry | ◎ | ◎ | × | × | リソース |
|
リポジトリアクセス制御 |
| Resource Orchestration Service | ◎ | ◎ | ◎ | ◎ | サービス |
|
RAM を使用してリソースアクセスを制御 |
| Batch Compute | ◎ | ◎ | ◎ | ◎ | サービス | N/A | N/A |
| Function Compute | ◎ | ◎ | ◎ | ◎ | リソース |
|
サブアカウントユーザーガイド |
| E-HPC | ◎ | ◎ | ◎ | ◎ | サービス |
|
N/A |
| Simple Application Server | ◎ | ○ | × | ○ | サービス | AliyunSWASFullAccess | N/A |
| Elastic Container Instance | ◎ | ◎ | ◎ | ◎ | リソース |
|
N/A |
データベース
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| ApsaraDB for RDS | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM authorization |
| ApsaraDB for MongoDB | ◎ | ◎ | ◎ | ◎ | リソース |
|
N/A |
| ApsaraDB for Redis | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| ApsaraDB for Memcache | ◎ | ◎ | ◎ | ◎ | サービス |
|
N/A |
| Time Series & Spatial Temporal Database | ◎ | ◎ | ◎ | ◎ | 操作 | N/A | N/A |
| HybridDB for PostgreSQL | ◎ | ◎ | ◎ | ◎ | リソース |
|
API の権限付与ルール |
| Data Transmission Service | ◎ | ◎ | × | × | サービス |
|
サブアカウントによる DTS へのアクセス |
| Database Backup | ◎ | ◎ | ◎ | ◎ | サービス |
|
N/A |
| Distributed Relational Database Service | ◎ | ◎ | ◎ | ◎ | リソース |
|
N/A |
ストレージと CDN
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Object Storage Service | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM ポリシー |
| Network Attached Storage | ◎ | ○ | × | ○ | 操作 |
|
権限グループの使用 |
| Table Store | ◎ | ◎ | ◎ | ◎ | リソース |
|
権限のカスタマイズ |
| Alibaba Cloud CDN | ◎ | ◎ | ◎ | ◎ | リソース |
|
API 権限付与ルール |
| Dynamic Route for CDN | ◎ | ◎ | ◎ | ◎ | リソース |
|
N/A |
| Cloud Storage Gateway | ◎ | ○ | × | ○ | サービス | AliyunHCSSGWFullAccess | N/A |
| Hybrid Backup Recovery | ◎ | ○ | × | ○ | リソース |
|
N/A |
| Lightning Cube | ◎ | ○ | × | ○ | サービス | AliyunMGWFullAccess | N/A |
ネットワーク
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Virtual Private Cloud | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| Server Load Balancer | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| Elastic IP Address | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| Express Connect | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| NAT Gateway | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| VPN Gateway | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| Global Acceleration | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM の権限付与 |
| Cloud Enterprise Network | ◎ | ◎ | × | × | リソース |
|
RAM の権限付与 |
分析
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| E-MapReduce | ◎ | ◎ | × | × | サービス |
|
N/A |
| Data Lake Analytics | ◎ | ◎ | × | × | 操作 |
|
N/A |
クラウド通信
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Message Service | ◎ | ◎ | × | × | リソース |
|
N/A |
| Short Message Service | ◎ | ◎ | ◎ | ◎ | サービス | N/A | N/A |
マネジメントとモニタリング
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| CloudMonitor | ◎ | ◎ | ◎ | ◎ | サービス |
|
CloudMonitor 用の RAM |
| ActionTrail | ◎ | ◎ | ◎ | ◎ | リソース | N/A | RAM アカウントへの権限付与 |
| Resource Access Management | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM 認証 |
| Key Management Service | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM を使用した KMS リソース認証 |
| Intelligent Advisor | N/A | N/A | N/A | N/A | 操作 | N/A | N/A |
アプリケーションサービス
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Log service | ◎ | ◎ | ◎ | ◎ | リソース |
|
権限付与ルール |
| DirectMail | ◎ | ◎ | ◎ | ◎ | サービス |
|
N/A |
| API Gateway | ◎ | ◎ | ◎ | ◎ | サービス |
|
ApiGateway_RAM |
| IoT Platform | ◎ | ◎ | ◎ | ◎ | リソース |
|
RAM ユーザーの使用 |
| Blockchain as a Service | ◎ | ◎ | ◎ | ◎ | リソース | N/A | N/A |
ミドルウェア
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Enterprise Distributed Application Service | ◎ | ◎ | × | × | サービス | AliyunEDASFullAccess | サブアカウント |
| Distributed Relational Database Service | ◎ | ◎ | × | ◎ | リソース |
|
N/A |
| Application Real-Time Monitoring Service | ◎ | ◎ | × | × | サービス | AliyunARMSFullAccess | N/A |
| Application Configuration Management | ◎ | ◎ | ◎ | ◎ | リソース | AliyunACMFullAccess | アクセス制御 |
メッセージキュー
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| AliwareMQ for RocketMQ | ◎ | ◎ | × | ◎ | リソース |
|
サブアカウントへの許可の付与 |
| Message Service | ◎ | ◎ | × | ◎ | リソース |
|
N/A |
メディアサービス
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| ApsaraVideo for Media Processing | ◎ | ◎ | × | ◎ | サービス |
|
サブアカウントコンソールの操作説明 |
| ApsaraVideo for VOD | ◎ | ◎ | ◎ | ◎ | サービス | AliyunVODFullAccess | N/A |
| ApsaraVideo for Live | ◎ | ◎ | × | ◎ | リソース | AliyunLiveFullAccess | API 権限付与ルール |
| Real-Time Communication | ◎ | ◎ | × | × | リソース | N/A | N/A |
ビッグデータ (DTplus)
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| DataWorks | ◎ | ◎ | × | × | サービス | AliyunDataWorksFullAccess | RAM ユーザー操作 |
| Quick BI | ◎ | ◎ | × | × | サービス | N/A | N/A |
| Machine Learning | ◎ | ◎ | × | × | サービス | N/A | N/A |
| Public Recognition | ◎ | ◎ | × | × | サービス | N/A | N/A |
| DataV | ◎ | ◎ | × | × | サービス | N/A | N/A |
| MaxCompute | ◎ | ◎ | × | × | サービス | N/A | N/A |
| Elasticsearch | ◎ | ◎ | ◎ | ◎ | リソース |
|
許可されているリソース |
| Machine Translation | N/A | N/A | N/A | N/A | サービス | N/A | N/A |
| Image Search | ◎ | ◎ | ◎ | ◎ | リソース |
|
許可ポリシー |
セキュリティ
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Threat Detection Service | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| Server Guard | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| Anti-DDoS Basic | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| Anti-DDoS Pro | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| Anti-DDoS Premium | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| GameShield | ◎ | ○ | ◎ | ○ | サービス | AliyunYundunGameShieldReadOnlyAccess | N/A |
| Web Application Firewall | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| SSL Certificates Service | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
| Cloud Firewall | N/A | N/A | N/A | N/A | サービス | N/A | N/A |
| Website Threat Inspector | ◎ | ○ | ◎ | ○ | サービス | N/A | N/A |
| Content Moderation | ◎ | ○ | ◎ | ○ | サービス | AliyunYundunGreenWebFullAccess | N/A |
| Anti-Bot Service | ◎ | ○ | ◎ | ○ | サービス |
|
N/A |
Marketplace
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Marketplace | ◎ | ○ | ◎ | ○ | サービス | AliyunMarketplaceFullAccess | N/A |
ドメインとホスティング
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Alibaba Cloud DNS | ◎ | ○ | ◎ | ○ | リソース |
|
N/A |
| Web Hosting | × | × | × | × | N/A | N/A | N/A |
| Alibaba Mail | × | × | × | × | N/A | N/A | N/A |
課金管理
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Billing Management | ◎ | × | × | × | サービス |
|
N/A |
サポート
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| サポート | ◎ | ○ | × | ○ | サービス | AliyunSupportFullAccess | N/A |
メッセージ
| サービス | RAM コンソールからのアクセス | RAM API からのアクセス | STS コンソールからのアクセス | STS API からのアクセス | 認可レベル (最小) | システムポリシー | 参照情報 |
|---|---|---|---|---|---|---|---|
| Message Center | ◎ | ○ | × | ○ | サービス | AliyunNotificationsFullAccess | N/A |
クイックスタート
概要
このドキュメントでは、 Resource Access Management (RAM)を開始するために実行するべきタスクを説明します。
RAM ユーザーのセキュリティポリシーの設定
このトピックでは、Alibaba Cloud アカウント配下の RAM ユーザーのセキュリティポリシーを設定して、RAM ユーザーの権限を管理しやすくする方法について説明します。
手順
- RAM コンソールにログインします。
- [アイデンティティ] > [設定] を選択します。
- [セキュリティ設定] タブで、[RAM ユーザーセキュリティ設定の更新] をクリックし、関連するパラメーターを設定します。
- MFA ログイン状態を 7 日間保持する:RAM ユーザーの多要素認証 (MFA) ログインステータスを保持するかどうかを指定します。 デフォルト値は [拒否済み] です。 [許可] を選択した場合、MFA ログインステータスは 7 日間保持されます。
- パスワードの管理:RAM ユーザーが自分のパスワードを変更できるかどうかを指定します。
- AccessKey の管理:RAM ユーザーが自分の AccessKey を管理できるかどうかを指定します。
- MFA デバイスの管理:RAM ユーザーが MFAデ バイスを有効または無効にできるかどうかを指定します。
- ログインセッションの有効期間:ログインセッションの有効期間。 単位は時間です。
- ログインアドレスマスク:ログインに使用できない IP アドレスを指定します。 このパラメーターはデフォルトでは指定されていません。 つまり、すべての IP アドレスをログインに使用できます。 このパラメーターを指定した場合、パスワードやシングルサインオン (SSO) を使用してコンソールにログインすることはできません。 ただし、Access Key を使用して API を呼び出すことができます。 ログインマスクの設定方法については、「Alibaba Cloud アカウントのログインマスクの設定」をご参照ください。
- [OK] をクリックします。
注 セキュリティポリシーの設定は、Alibaba Cloud アカウント配下のすべての RAM ユーザーに適用されます。
RAM ユーザーへの権限付与
このトピックでは、RAM ユーザーに権限を付与する方法について説明します。 RAM ユーザーは、関連する権限を取得した後、Alibaba Cloud リソースにアクセスできるようになります。
手順
- RAM コンソール にログインします。
- [権限] > [権限付与] を選択します。
- [権限の付与] をクリックします。
- [プリンシパル] フィールドに、ユーザー名またはユーザー ID を入力し、対象の RAM ユーザーをクリックします。
注:キーワードを入力して、特定のユーザー名を検索することもできます。
- [ポリシー名] 列で、対象のポリシーを選択し、[OK] をクリックします。
注:選択を解除するには、[X] をクリックします。
RAM ユーザーログイン
このトピックでは、RAM ユーザーがコンソールにログインするための URL と方法を説明します。
ログイン URL
RAM ユーザーのログイン URL は、Alibaba Cloud アカウントのログイン URL とは異なります。
RAM ユーザーのログイン URLは、RAM ユーザーログイン URL です。
注:AM コンソールの [概要] ページで、RAM ユーザーログイン URL を取得することもできます。
ログイン方法
[RAM ユーザーログイン] ページで、以下のいずれかの方法でコンソールにログインできます。
-
UPN 形式:
<$username>@<$AccountAlias>.onaliyun.com(例:username@company-alias.onaliyun.com)注:
<$username>は RAM ユーザーのユーザー名、<$AccountAlias>.onaliyun.comはデフォルトのドメイン名です。 -
<$username>@<$AccountAlias>(例:username@company-alias)注:
<$username>は RAM ユーザーのユーザー名、<$AccountAlias>はアカウントのエイリアスです。