複数のクラウドサーバー ECS インスタンスを購入した場合、インスタンスを使用する必要がある組織内には複数のユーザーが存在します。 ユーザーがクラウドアカウントキーを共有すると、次の問題が発生します。
- キーは複数の人々によって共有されることにより、漏洩の危険性が高まります。
- ユーザーのアクセス権を制限することはできず、誤操作の可能性があるためにセキュリティ上のリスクが高まります。
アクセス制御 RAM (リソースアクセス管理) は、Alibaba Cloud によって提供されるリソースアクセス制御サービスです。 RAM により、 従業員、システム、アプリケーションなどのユーザーを一元的に管理し、ユーザーは自分の名前で、どのリソースにアクセスできるかを制御する権限を管理できます。
アクセス制御 RAM を使用すると、リソースに対するユーザーアクセス制御を管理できます。 たとえば、ネットワークセキュリティ制御を強化するために、グループに権限付与ポリシーを追加できます。 元のIPアドレスが企業ネットワークのものでない場合、ご自身の名前でリクエストされたECS リソースへのアクセスは拒否されます。
以下のように、グループごとに異なる権限を設定できます。
- Sysadmins (システム管理者): このグループには、ECS イメージ、インスタンス、スナップショット、セキュリティグループなどを作成および管理する権限が必要です。 グループメンバーにすべての ECS の実行を許可する権限付与ポリシーをこのグループに 割り当てました。
- Developers (開発者): このグループは、インスタンスを使用する権限のみが必要です。 このグループでは、メンバー全員に DescriptionInstances、StartInstance、StopInstance、CreateInstance、およびDeleteInsance を呼び出す 権限を付与するポリシーを 割り当てます。
- 開発者の職責が変わってシステム管理者になった場合は、開発者グループからシステム管理者グループに簡単に移行させることができます。
アクセス制御 RAM の詳細については、RAM のプロダクト資料をご参照ください。