インスタンス RAM (Resource Access Management) ロールを使用すると、ECS インスタンスに対するロールベースのアクセス許可の権限を付与できます。
一時的な STS (Security Token Service) 認証情報を使用して、ECS インスタンスにロールを割り当て、そのインスタンスでホストされているアプリケーションが他のクラウドサービスにアクセスできるようにします。 これは AccessKey のセキュリティ保証に役立ち、インスタンスのきめ細かいアクセス制御の適用が可能です。
背景
一般に、ECS インスタンス内のアプリケーションは、Alibaba Cloud プラットフォーム上のさまざまなクラウドサービスにアクセスするために、AccessKeyId および AccessKeySecret を含む、プライマリアカウントまたは RAM ユーザーアカウントの AccessKey を使用する必要があります。
つまり、呼び出しを行うには、設定ファイルなどのインスタンスに直接 AccessKey を適用する必要があります。 ただし、Alibaba Cloud が呼び出し目的で AccessKey をインスタンスに書き込むと、AccessKey が誤って公開される可能性があります。アカウントとリソースのセキュリティを保証するために、Alibaba Cloud はインスタンス RAM ロールのサポートを提供します。
利点
インスタンス RAM ロールにより、次のことが可能になります。
-
ロールを ECS インスタンスに関連付けます。
-
ECS インスタンス内のアプリケーションからの STS 認証情報を使用して、他のクラウドサービス (OSS、SLB、および ApsaraDB for RDS など) に安全にアクセスします。
-
異なる ECS インスタンスに異なるポリシーを持つロールを割り当て、それらのインスタンスが他のクラウドサービスへの制限されたアクセスレベルを持つことで、きめ細かいアクセス制御が得られます。
-
RAM ロールのポリシーのみを変更して ECS インスタンスのアクセス許可を維持します。つまり、AccessKey を変更する必要はありません。
価格
インスタンス RAM ロールの使用は無料です。
制限
インスタンス RAM ロールには、次の制限があります。
-
インスタンス RAM ロールは VPC インスタンスにのみ適用されます。
-
ECS インスタンスは、1 つのインスタンス RAM ロールに対してのみ権限付与されます。
インスタンス RAM ロールの使用方法
インスタンス RAM ロールは、次のいずれかの方法で使用できます。
参照
-
STS をサポートするクラウドサービスの一覧については、「 RAM をサポートするクラウドサービス」をご参照ください。
-
他のクラウドサービスにアクセスする方法については、「インスタンス RAM ロールによる他のクラウドプロダクト API へのアクセス」をご参照ください。