Resource Access Management (RAM) を使用すると、Alibaba CloudアカウントとそのRAMユーザーの権限を個別に管理し、RAMユーザーに異なる権限を付与できます。 必要な権限が付与されたRAMユーザーのみが、コンソールでリソースを管理できます。 これにより、Alibaba CloudアカウントのAccessKeyペアが公開された場合に発生するセキュリティリスクが回避されます。 このトピックでは、Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに権限を付与する方法について説明します。
シナリオ
エンタープライズAはを有効にし、従業員にサービスや機能の作成や削除などのリソースの管理を要求しています。 異なる役割を担う従業員には、異なる権限が必要です。 エンタープライズAには次の要件があります。
- セキュリティ上の理由から、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。 エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与することを好みます。
- 権限が付与されたRAMユーザーのみがリソースを管理できます。 リソース使用量とコストは、RAMユーザーごとに個別に計算されません。 すべての費用は、エンタープライズAのAlibaba Cloudアカウントに請求されます。
- エンタープライズAは、いつでもRAMユーザーに付与された権限を取り消し、RAMユーザーを削除できます。
手順1: Enterprise AのAlibaba Cloudアカウントを使用して従業員用のRAMユーザーを作成する
ステップ2: RAMユーザーに権限を付与する
注 上記のポリシーは、システムポリシーまたはカスタムポリシーです。 詳細については、「ポリシーとサンプルカスタムポリシー」をご参照ください。 カスタムポリシーを作成、更新、削除できます。 詳細については、「カスタマイズポリシーの作成」をご参照ください。
次の手順
Alibaba Cloudアカウントを使用してRAMユーザーを作成した後、エンタープライズAはRAMユーザーのユーザー名とパスワードまたはAccessKeyペアを従業員に割り当てることができます。 従業員は、RAMユーザーを使用してコンソールにログインするか、次の手順を実行してAPI操作を呼び出すことができます。
- コンソール
- ブラウザでRAMアカウントのログインページを開きます。
- [RAMアカウントのログイン] ページで、RAMユーザーの名前を入力し、[次へ] をクリックしてパスワードを入力し、[ログイン] をクリックします。
注 RAMユーザーの名前は、<$username >@<$ AccountAlias> 形式または <$username >@<$ AccountAlia s>.onaliyun.com形式です。 <$AccountAlias> はRAMユーザーのエイリアスです。 エイリアスが設定されていない場合は、Alibaba CloudアカウントのIDを使用します。 - API
RAMユーザーのAccessKey IDとAccessKey secretをコードで使用して、にアクセスするためのAPIリクエストを行います。