Alibaba Cloud RAMを使用すると、Alibaba Cloud アカウントの下に RAM ユーザーを作成できます。 RAM ユーザーには、それぞれ独自の AccessKey が割り当てられます。 この場合、Alibaba Cloud アカウントはプライマリアカウントと呼ばれ、作成した RAM ユーザーはサブアカウントと呼ばれます。 サブアカウントのAccessKeyは、Alibaba Cloudアカウントによって承認された操作を実行したり、リソースを利用する場合にのみ使用できます。

シナリオ

複数のユーザーが Alibaba Cloud アカウントでリソースを使用する必要があるとします。そのリソースにアクセスするには Alibaba Cloud アカウントの AccessKey が必要です。 この場合、次の 2 つの問題が発生します。
  • AccessKey が複数のユーザーで共有されるため、コンテンツが誤って公開される危険性が高まります。
  • また、特定のリソース (バケットなど) にアクセスできるユーザーを制御することはできません。

上記の問題を解決するには、Alibaba Cloud RAM を使用して、Alibaba Cloud アカウントの下に独自の AccessKey を持つ RAM ユーザーを作成します。 この場合、Alibaba Cloud アカウントはプライマリアカウントと呼ばれ、作成した RAM ユーザーはサブアカウントと呼ばれます。 サブアカウントでは操作のみ実行できます。サブアカウントの AccessKey は、Alibaba Cloud アカウントによって承認された操作を実行したり、リソースを利用する場合にのみ使用できます。

実装方法

RAM の詳細と RAM ユーザーの作成方法については、 「RAM ユーザーの作成」をご参照ください。 RAM ポリシーを作成して OSS アクセス許可をユーザーに付与するには、 「RAMポリシー (RAM Policy)」をご参照ください。