Resource Access Management

柔軟なアカウント管理・アクセス制御を実現するサービス

今すぐ利用開始

概要

Alibaba Cloud Resource Access Management (RAM) は、ユーザ とそのアクセス権限を制御するサービスです。このサービスにより、ユーザー (従業員、システム、アプリケーションなど) を一元管理して、権限レベルによりリソースへのアクセスを安全に制御できます。したがって、RAM では クラウドリソースのアクセス権限を、一部の高い権限を持つユーザー、企業の社員、およびパートナーなどに限定して安全に付与することができます。これにより、クラウドリソースが確実に保護され、適切に使用されます。


利点

一元管理

  • RAM ユーザの作成、削除及びグループやロールの作成により、権限の管理ができます。

  • Alibaba Cloud リソースのアクセス権限および ID 資格情報を一元管理できます。

  • ビジネス要件に応じて、1 つまたは複数のリソースやユーザーアカウントから権限を取り消します。

高い柔軟性

  • きめ細かい権限付与: 1 つのリソースに 1 つまたは複数の操作の権限を付与できます
    たとえば、リソースオーナーはリソースを作成、操作実行、削除する権限を付与できます。

  • 複数条件での権限付与: IP、時間などの条件でアクセス権限を制限します。

  • バージョン管理のメカニズム: 各権限付与ポリシーについて複数のバージョンを保持しているため、誤ってポリシーを削除しても元に戻すことができます。

複数の権限付与シナリオに対応

  • 個別のクラウドリソースにさまざまな権限付与ポリシーを定義して制御できるため、特定のビジネス条件を満たすことができます。

  • ユーザー、パートナー、企業の従業員のアカウントに、読み取り専用、フル権限、カスタマイズされた権限を付与できます。

  • ユーザーまたはサービス固有のロールを定義できます。

強化されたセキュリティ

  • Multi-Factor Authentication (MFA) 技術を利用して、アカウントを確実に保護します。

使いやすさ

  • 管理コンソールまたは API を使用して、RAM の設定が簡単に行えます。

追加料金なしでの利用

  • 追加料金なしで RAM サービスによる一元管理が可能です。支払いは RAM ユーザーが使用しているクラウドリソースに対してのみ発生し、RAMの利用料金は発生しません。

  • 単一の企業アカウントに複数のアカウントを統合すれば、各アカウントからのリソース操作によって発生した費用を 1 つの請求にまとめることができます。

プロダクトの詳細

Resource Access Management (RAM) は、クラウドリソースへのアクセスを一元的に制御して、ユーザーをまとめて管理できるサービスです。RAM を使用すると、クラウドリソースにアクセスするユーザーやグループを作成、管理して、さまざまなレベルのアクセス権限を付与できます。


特徴

ユーザー管理

  • ユーザー管理: プライマリアカウントを使用して、RAM ユーザーを作成、管理し、権限を付与できます。

  • Multi-factor Authentication: TOTP プロトコル標準 (RFC 6238) に準拠する MFA デバイスに対応してます。

  • パスワードポリシー管理: ユーザーに対してパスワードポリシーを作成して、許容されるログイン試行回数や、パスワードの有効期間などを設定できます。

  • ユーザーグループ: ユーザーグループの作成により複数のユーザーに同一の権限を割り当てられます。

  • アクセスキー: RAMユーザーごとにAPI アクセスキーを作成することもできます。

権限付与管理

  • 実行権限: 特定の条件の下、固有のリソースに対し、特定の操作の実行を許可または拒否する権限を設定できます。

  • カスタマイズ権限付与: 権限付与ポリシーをカスタマイズし、ユーザーの権限を管理できます。

  • グループ権限: グループ化された権限付与のメカニズムにより、シナリオ特有の権限を付与して権限管理の負荷を軽減させることができます。

  • ユーザー権限付与: Alibaba Cloud アカウントにユーザーまたはユーザーグループの権限を付与できます。

権限付与ポリシー管理

  • 細かい要件に応じて権限付与ポリシーを作成、変更、削除できます。たとえば、特定の ECS インスタンスの操作権限を制御したり、指定した IP アドレスからのリクエストしか受け付けないような制御する場合などに使用できます。

Alibaba Security Token Service

  • アクセス権限: Security Token Service により特定のクラウドリソースのアクセス権限がモバイルクライアントに付与されるため、モバイルクライアントからもクラウドリソースに直接アクセスすることができます。

  • 有効期間のカスタマイズ: トークンの有効期間をカスタマイズして、セキュリティを強化できます。

一元制御

  • ユーザーリソースへのアクセス方法: 指定した時間に、特定のソース IP のクラウドリソースへのアクセスを要求できるように、ユーザーにセキュリティチャネル (SSL など) が提供されます。

  • ロールと外部アカウントの ID フェデレーション管理: RAM ロールを外部の ID システム (ローカルの企業ドメインのアカウントや、アプリのアカウントなど) に関連付けると、外部の ID から直接 RAM ロールにログオンし、コンソールや API にアクセスできます。

  • クラウドリソース: RAM ユーザーが作成したデータやインスタンスを一括して制御するため、ユーザーが組織を離れた場合でも、そのユーザーのインスタンスやデータを完全に制御できます。

使用方法と課金

  • 追加料金不要: RAM の利用に追加の料金は発生しません。RAM ユーザーが使用する他の Alibaba プロダクト/サービスに対してのみ料金が発生します。

  • 一括請求: すべての RAM ユーザー/アカウントからのリソース操作によって発生した費用を 1 つの請求にまとめることができます。

シナリオ

一般的な RAM シナリオをいくつか次に示します。

1. 企業のユーザーアカウント管理および権限の割り当て

ある企業のプロジェクトでは、ECS/RDS/SLB インスタンスや OSS バケットなど複数のクラウドリソースを購入しました。異なる職務や権限を持つ従業員がさまざまな操作を行う必要があります。それぞれに権限を持つリソース操作のみを実行できる、独立したユーザーまたはオペレーターのアカウントを割り当てることができます。このように企業はセキュリティを維持しながら、あらゆるユーザーアカウントの権限をいつでも付与/取り消すことができます。また、プライマリアカウントである企業にまとめて請求されます。

推奨設定

RAM ユーザーアカウントと権限付与管理機能

構成イメージ

  • プライマリアカウントへの不正アクセスを防止するために MFA を設定します。

  • RAM を有効にします。

  • 各従業員 (またはアプリケーションシステム) の RAM ユーザーアカウントを作成し、必要に応じてログインパスワードを設定するか、アクセスキーを作成します。

  • 同じ職務の従業員用のグループを作成し、グループにユーザーを追加します。

  • 権限付与ポリシーを作成し、グループ/ユーザーに 1 つ以上のポリシーを設定して権限を付与します。

2. モバイルアプリ用の一時的な権限付与管理

モバイルアプリケーションでは、モバイルデバイスから直接クラウドリソースを操作することもあります。モバイルアプリケーションはデバイス上で実行されるため、サービス提供者からの制御ができず、悪意のあるユーザーにアクセスされるリスクがあります。そのため、各アプリに最小限のアクセス権限を持つアクセストークンを発行し、一時的にアクセス権限を付与することで、セキュリティリスクを最小限に抑えます。

推奨設定

RAM STS トークン

構成イメージ

  • ロールを作成し、権限付与ポリシーの設定によりロールに権限を付与します。

  • AppServer の RAM ユーザーを作成し、作成したロールを引き継ぐ権限を付与します。

  • AppServer により、リソースにアクセスするための STS トークンが発行されます。

3. 企業間のリソース操作と権限付与管理

企業 A は、複数のクラウドリソースを購入し、企業 B にクラウドリソース O&M、モニタリング管理、および他のタスクの権限を付与しました。企業 B は、企業 A のリソースへのアクセス権限を 1 人以上の従業員に割り当てることができます。企業 B は、企業 A のリソースに対して従業員が実行できる操作を正確に制御する必要があります。O&M の委託契約が解除された場合、企業 A は企業 B の権限を自由に取り消すことができます。

推奨設定

クロスアカウント権限付与用の RAM ロール

構成イメージ

  • ロールを作成し、クロスアカウントの権限を付与します。

  • サブユーザーを作成し、ロールを引き継ぐ権限を付与すると、コンソールからクロスアカウントのリソースにアクセスできます。

はじめに

RAM を利用すると、管理コンソール、API、ドキュメントを使用して、ユーザーが クラウドリソースにアクセスする権限を制御したり、さまざまな権限付与ポリシーを設定したりすることができます。

管理コンソールを用いた RAM の使用

管理コンソールでは、RAM のアクセスルール、権限付与ポリシー、さまざまなユーザーの権限やロールへのアクセスと設定ができます。

ユーザーを作成、変更、管理、削除することもできます。管理コンソールを使用して RAM を設定する手順については、クイックスタートガイドを参照してください。

RAM API リファレンス

RAM ユーザーまたはグループのアクセス権限をプログラムで作成、および設定するには、RAM の API を使用してください。

Alibaba Cloud ドキュメント

RAM の動作については、ユーザーガイドを参照してください。

リソース

RAM を使用して、Alibaba Cloud リソースに対してさまざまな操作を実行する複数のユーザー ID を作成、管理して、権限付与ポリシー/リソースアクセス許可を ID または ID グループに割り当てることができます。

以下のリソースで RAM に関する詳細情報を確認できます。

開発者向けリソース

高度な機能、および RAM の設定に関する説明については、次のリンクをクリックしてください。

よくある質問

1. Alibaba Cloud RAM の利用を開始する方法

Alibaba Cloud にサインアップすると、Web ベースの Alibaba Cloud 管理コンソールまたは RAM API (プログラムでのアクセス用) を使用してユーザーやグループを作成し、さまざまなリソースにアクセスする権限を割り当てることができます。

2. サブユーザーが Alibaba Cloud 管理コンソールにサインインする方法

ログインページにアクセスするか、管理コンソールのダッシュボードにあるリンクを参照します。

3. RAM との統合に対応している Alibaba Cloud のプロダクトおよびサービス

RAM に対応しているサービスをご参照ください。

4. RAMロールとは何ですか。

RAMロールは、仮想ユーザー (シャドウアカウント) または RAM ユーザーの種類の1つです。この仮想ユーザーには固定 ID があり、ポリシーを付与することができます。RAMロールに付与された権限はRAMロールを利用するユーザーに適用されます。

5. 新しい RAM ユーザーに付与される操作権限は何ですか。

新しい RAM ユーザーは、デフォルトでは操作権限を保持していません。RAM ユーザーが操作を実行するには、その権限が付与されている必要があります。RAM ユーザーは、権限が付与されて初めて、管理コンソールまたは API を使用してリソース操作を実行できます。

6. 権限付与ポリシーとは何ですか。

権限付与ポリシーは、ポリシー言語を使用して記述される権限のグループです。対象とするリソースや操作内容、および細かな条件(例えばアクセス元IPアドレスなど)を正確に定義できます。

7. サポートしているすべてのシステム権限付与ポリシーを表示する方法を教えてください。

サポートしているすべてのシステム権限付与ポリシーを表示するには、管理コンソールにログインし、権限付与ポリシー管理ページに移動して、一覧を表示します。

8. RoleARN とは何ですか。

RoleARN は、ロールを指定するグローバルリソース記述子です。RoleARNは、Alibaba Cloud の ARN 命名規則に従います。

たとえば、Alibaba Cloud アカウントの devops ロールの RoleARN は、acs:ram::1234567890123456:role/devops です。 詳細はドキュメントをご確認ください。

9. 複数のバージョンを持つ権限付与ポリシーを削除する方法を教えてください。

最初に、デフォルトのバージョンを維持して、他のすべてのバージョンを削除する必要があります。利用できるデフォルトのバージョンが 1 つしかない場合は、権限付与ポリシーを削除できます。

10. よく使用される権限を割り当てる方法を教えてください。

よく使用される権限が付与されたシステム権限付与ポリシーを用意しています。RAM ユーザー、グループまたはロールに対して設定することができます。例えば、これらのポリシーは、ECS に対する読み取り専用の権限や、フル権限など、Alibaba Cloud によって管理されている包括的な権限セットのグループです。これらのポリシーを使用することはできますが、変更することはできません。

11. カスタマイズ権限付与ポリシーを作成する方法を教えてください。

  • 1. コンソールにアクセスして、[権限付与ポリシー管理]、[カスタマイズ権限付与ポリシー] の順に選択します。

  • 2. [権限付与ポリシーの作成] をクリックします。

  • 3. リストからテンプレートを選択します (AliyunOSSReadOnlyAccess など)。

  • 4. 必要に応じて権限付与ポリシーの名前、補足、コンテンツを編集します。

  • 5. 必要な箇所を変更したら、[権限付与ポリシーを作成] をクリックしてカスタマイズ権限付与ポリシーを作成します。

12. 権限付与ポリシーをグループにアタッチする方法を教えてください。

  • 1. RAM コンソールにログインし、[グループ管理] に移動します。

  • 2. グループを選択し、[許可] をクリックして [グループの権限付与ポリシーの編集] ページに移動します。

  • 3. 関連する権限付与ポリシーの名前を選択し、グループに権限を付与します。

13. 複数の RAM ユーザーに同じ権限を割り当てる方法を教えてください。

ユーザグループ機能を利用することで可能です。 権限付与ポリシーをユーザーグループに設定することによって、そのグループ内のすべてのユーザーは同一の権限が付与されます。

14. RAMユーザーが安全にサービスを利用する方法を教えてください。

RAMユーザーは以下の2つの方法で安全にクラウドサービスを利用可能です。 - ユーザー名・パスワード認証でログインしてから管理コンソールを通じてアクセスします。MFA (Multi-Factor Authentication 2段階認証)を有効すると、ログイン・パスワードと別でトークン認証でセキュリティを強化できます。 - アクセスキーを使用して API経由でリソースにアクセスすることで安全性を高めることも可能です。