インスタンス RAM (Resource Access Management) ロールを使用すると、ECS インスタンスに対するロールベースのアクセス許可の権限を付与できます。

一時的な STS (Security Token Service) 認証情報を使用して、ECS インスタンスにロールを割り当て、そのインスタンスでホストされているアプリケーションが他のクラウドサービスにアクセスできるようにします。 これは AccessKey のセキュリティ保証に役立ち、インスタンスのきめ細かいアクセス制御の適用が可能です。

背景

一般に、ECS インスタンス内のアプリケーションは、Alibaba Cloud プラットフォーム上のさまざまなクラウドサービスにアクセスするために、AccessKeyId および AccessKeySecret を含む、プライマリアカウントまたは RAM ユーザーアカウントの AccessKey を使用する必要があります。

つまり、呼び出しを行うには、設定ファイルなどのインスタンスに直接 AccessKey を適用する必要があります。 ただし、Alibaba Cloud が呼び出し目的で AccessKey をインスタンスに書き込むと、AccessKey が誤って公開される可能性があります。アカウントとリソースのセキュリティを保証するために、Alibaba Cloud はインスタンス RAM ロールのサポートを提供します。

利点

インスタンス RAM ロールにより、次のことが可能になります。

  • ロールを ECS インスタンスに関連付けます。

  • ECS インスタンス内のアプリケーションからの STS 認証情報を使用して、他のクラウドサービス (OSS、SLB、および ApsaraDB for RDS など) に安全にアクセスします。

  • 異なる ECS インスタンスに異なるポリシーを持つロールを割り当て、それらのインスタンスが他のクラウドサービスへの制限されたアクセスレベルを持つことで、きめ細かいアクセス制御が得られます。

  • RAM ロールのポリシーのみを変更して ECS インスタンスのアクセス許可を維持します。つまり、AccessKey を変更する必要はありません。

価格

インスタンス RAM ロールの使用は無料です。

制限

インスタンス RAM ロールには、次の制限があります。

  • インスタンス RAM ロールは VPC インスタンスにのみ適用されます。

  • ECS インスタンスは、1 つのインスタンス RAM ロールに対してのみ権限付与されます。

インスタンス RAM ロールの使用方法

インスタンス RAM ロールは、次のいずれかの方法で使用できます。

参照