本ページでは、RAM を使用してクラウドベースのリソースにアクセスとセキュリティの設定を適用し、きめ細かいアクセス制御でアクセス権限をより適切に管理できるようにする方法について説明します。

シナリオ

ビジネスリソースをクラウドに移行すると、従来の組織構造および以前のリソース管理方法では、要件を満たさなくなる可能性があります。 その結果、サービスの移行により、次のようにセキュリティ管理上の問題が発生する可能性があります。

  • RAM ユーザーの責任は明確ではありません。
  • セキュリティ上のリスクがあるため、アカウントの所有者はアカウント AccessKey を RAM ユーザーと共有したくありません。
  • RAM ユーザーはさまざまな方法でリソースにアクセスできますが、これは統一されておらず、誤ってセキュリティ上のリスクを引き起こす可能性があります。
  • ユーザーがこれらの権限を必要としなくなった場合は、RAM ユーザーのリソースアクセス権限を頻繁に呼び出す必要があります。

解決法

上記の問題を解決するには、RAM を使用して RAM ユーザーを作成し、それらにリソースアクセス許可を適用します。 具体的には、RAM を使用してアカウント AccessKey を RAM ユーザーから分離し、必要に応じて最小限のアクセス権限をユーザーに付与して、リソースのセキュリティを確保することができます。



セキュリティ管理ソリューション

  • 独立した RAM ユーザーの作成

    企業に必要なアカウントは 1 つだけです (つまり、Alibaba Cloud アカウント)。 ベストプラクティスとして、このアカウントを日常業務に使用しないでください。 ただし、そのアカウントの異なるユーザーに対して複数の RAM ユーザーを作成し、必要に応じてリソースへの必要なアクセス許可を付与することができます。

    詳しくは、RAM ユーザーの作成 をご参照ください。

  • API ユーザーからコンソールユーザーを分離
    RAM ユーザーに対して、コンソール操作用のログインパスワードと API 操作用の AccessKey を同時に作成しないことを推奨します。
    • アプリケーションがオープン API を介してのみクラウドリソースにアクセスできるようにするには、そのアプリケーション用の AccessKey を作成するだけで済みます。
    • 社員は、コンソールでクラウドリソースを操作する必要がある場合、その社員にログインパスワードを設定するだけです。

    詳しくは、RAM ユーザーの作成 をご参照ください。

  • RAM ユーザーとグループを作成

    アカウントに複数の RAM ユーザーがある場合は、同じ責任を持つ RAM ユーザーをグループ化し、必要に応じてそのグループに権限を付与することができます。

    詳しくは、(オプション)RAM ユーザグループの作成 をご参照ください。

  • 異なる RAM ユーザーグループに最小限の権限を付与

    必要に応じて、適切なシステムポリシーを RAM ユーザーまたはユーザーグループに添付できます。 きめ細かい権限管理用のカスタムポリシーを作成することもできます。 このように、さまざまな RAM ユーザーおよびユーザーグループに最小限のアクセス権限を付与することで、クラウドリソースに対する RAM ユーザーの操作をより適切に管理できます。

    詳しくは、カスタマイズポリシーの作成 をご参照ください。

  • 強力なパスワードポリシーの設定

    最小長、必須文字、および検証期間に関するカスタム規則を使用して、RAM コンソールで RAM ユーザーのパスワードポリシーを設定できます。 RAM ユーザーが自分のログインパスワードを変更することを許可されている場合、ユーザーは強力なログインパスワードを作成し、定期的にパスワードまたは AccessKey を変更する必要があります。

    詳しくは、RAM 構成の初期設定 をご参照ください。

  • アカウントの MFA を有効化
    アカウントに対して多要素認証 (MFA) を有効にして、アカウントのセキュリティを強化することができます。 MFA が有効になると、システムは RAM ユーザーに Alibaba Cloud にログオンして次の 2 つのセキュリティ要素を入力するように要求します。
    • 最初のセキュリティ要素: アカウント名とパスワード
    • 第 2 のセキュリティ要素: 仮想 MFA デバイスからの可変検証コード

    詳しくは、(オプション)MFA の設定 をご参照ください。

  • RAM ユーザーに対して SSO を有効化

    シングルサインオン (SSO) を有効にすると、企業のすべての内部アカウントが認証されます。 その後、ユーザーは内部アカウントを使用することによってのみ Alibaba Cloud にログインして対応するリソースにアクセスできます。

    詳しくは、ユーザーベース SSO 用 SAMLの構成 をご参照ください。

  • アカウントの AccessKey を共有しないこと

    アカウントはその下のリソースに対するフルコントロールのアクセス権限を持ち、その AccessKey はログインパスワードと同じアクセス権限を持ちます。 ただし、AccessKey はプログラムへのアクセスに使用され、ログインパスワードはコンソールへのログインに使用されます。 そのため、AccessKey の誤用による情報漏えいを防ぐため、アカウントの AccessKey を共有または使用しないことを推奨します。 代わりに、RAM ユーザーを作成し、このユーザーに適切な権限を付与してください。

    詳細については、「AccessKey の管理」をご参照ください。

  • セキュリティを強化するために動作条件を指定

    クラウドリソースを使用する前に RAM ユーザーが満たす必要がある動作条件を指定できます。 たとえば、RAM ユーザーがセキュアチャネル (SSL など) を使用するか、指定された送信元 IP アドレスを使用するか、または指定された期間内に操作する必要があることを指定できます。

    詳しくは、ポリシー要素 をご参照ください。

  • クラウドリソースの権限の管理
    デフォルトでは、すべてのリソースはアカウントの下にあります。 RAM ユーザーはリソースを使用できますが、リソースを所有しません。 これにより、RAM ユーザーが作成したインスタンスやデータを簡単に管理できます。
    • 不要になった既存の RAM ユーザーについては、RAM ユーザーアカウントを削除するだけで、対応するすべてのアクセス権限を削除できます。
    • 権限を必要とする RAM ユーザーの場合は、まず RAM ユーザーを作成し、それにログインパスワードまたは AccessKey を設定してから、必要に応じて RAM ユーザーに適切な権限を付与する必要があります。

    詳しくは、RAM ユーザーへの権限付与 をご参照ください。

  • STS を使用した RAM ユーザーへの一時的な権限の付与

    セキュリティトークンサービス (STS) は、RAM の拡張認証サービスです。 STS を使用して RAM ユーザーに一時的な権限を付与し、必要に応じてトークンの権限と自動有効期限を指定できます。

    詳しくは、STS に関するよくある質問 をご参照ください。

結果

サービスをクラウドに移行した後は、前述のソリューションを使用してクラウドベースのリソースを効果的に管理し、アカウントとすべてのビジネス資産を安全に保つことができます。

次のステップ

RAM を使用して、O&M 要件を分類し、必要に応じてさまざまなエンジニアにタスクを割り当てることができます。 詳しくは、RAM を使用した多様な O&M エンジニアの権限の管理 をご参照ください。