Resource Access Management (RAM) を使用すると、Alibaba CloudアカウントとそのRAMユーザーの権限を個別に管理し、RAMユーザーに異なる権限を付与できます。 必要な権限が付与されたRAMユーザーのみが、コンソールでリソースを管理できます。 これにより、Alibaba CloudアカウントのAccessKeyペアが公開された場合に発生するセキュリティリスクが回避されます。 このトピックでは、Alibaba Cloudアカウントを使用してRAMユーザーを作成し、RAMユーザーに権限を付与する方法について説明します。

シナリオ

エンタープライズAはを有効にし、従業員にサービスや機能の作成や削除などのリソースの管理を要求しています。 異なる役割を担う従業員には、異なる権限が必要です。 エンタープライズAには次の要件があります。
  • セキュリティ上の理由から、エンタープライズAはAlibaba CloudアカウントのAccessKeyペアを従業員に開示したくありません。 エンタープライズAは、従業員に対して異なるRAMユーザーを作成し、RAMユーザーに異なる権限を付与することを好みます。
  • 権限が付与されたRAMユーザーのみがリソースを管理できます。 リソース使用量とコストは、RAMユーザーごとに個別に計算されません。 すべての費用は、エンタープライズAのAlibaba Cloudアカウントに請求されます。
  • エンタープライズAは、いつでもRAMユーザーに付与された権限を取り消し、RAMユーザーを削除できます。

手順1: Enterprise AのAlibaba Cloudアカウントを使用して従業員用のRAMユーザーを作成する

  1. RAM コンソールにログインします。
  2. ID > ユーザー をクリックします。
  3. ユーザーの作成をクリックして、ログイン名と表示名を入力します。
    ユーザーの追加をクリックして、一度に複数の RAM ユーザーを作成できます。
  4. アクセスモードを選択します。 利用可能なアクセスモードは、コンソールパスワードログインプログラムによるアクセスです。
    • コンソールパスワードログイン を選択した場合、ログインに関する基本的なセキュリティ設定を完了させる必要があります。これには、パスワードを自動的に生成するかどうか、またはログインパスワードをカスタマイズするかどうかの決定、ユーザーに対し次回のログインのためにパスワードのリセットを要求するかどうかの設定、および MFA (multi-factor authentication) を有効化するかどうかの設定が含まれます。
    • プログラムによるアクセスを選択した場合、RAM ユーザ用のアクセスキーが自動的に作成されます。 ユーザーは API を呼び出すか開発ツールを使用することで Alibaba Cloud リソースにアクセスできます。
    Alibaba Cloud アカウントのセキュリティ上の原因で、ユーザーにアクセスモードを 1 つだけ設定することをお勧めします。
  5. OK をクリックします。

ステップ2: RAMユーザーに権限を付与する

上記のポリシーは、システムポリシーまたはカスタムポリシーです。 詳細については、「ポリシーとサンプルカスタムポリシー」をご参照ください。 カスタムポリシーを作成、更新、削除できます。 詳細については、「カスタマイズポリシーの作成」をご参照ください。

次の手順

Alibaba Cloudアカウントを使用してRAMユーザーを作成した後、エンタープライズAはRAMユーザーのユーザー名とパスワードまたはAccessKeyペアを従業員に割り当てることができます。 従業員は、RAMユーザーを使用してコンソールにログインするか、次の手順を実行してAPI操作を呼び出すことができます。

  • コンソール
    1. ブラウザでRAMアカウントのログインページを開きます。
    2. [RAMアカウントのログイン] ページで、RAMユーザーの名前を入力し、[次へ] をクリックしてパスワードを入力し、[ログイン] をクリックします。
    RAMユーザーの名前は、<$username >@<$ AccountAlias> 形式または <$username >@<$ AccountAlia s>.onaliyun.com形式です。 <$AccountAlias> はRAMユーザーのエイリアスです。 エイリアスが設定されていない場合は、Alibaba CloudアカウントのIDを使用します。
  • API

    RAMユーザーのAccessKey IDとAccessKey secretをコードで使用して、にアクセスするためのAPIリクエストを行います。