Resource Access Management (RAM) は、ユーザー ID の管理とアクセス制御のための Alibaba Cloud サービスです。 RAM を 使用すると、ユーザーアカウント (従業員、システム、アプリケーションなど) を作成および管理し、Alibaba Cloud アカウントのリソースに対してそのユーザーアカウントが所有する操作権限を制御できます。 企業の複数のユーザーが共同でリソースを操作する必要がある場合、 RAM により、Alibaba Cloud アカウントのアクセスキーを他のユーザーと共有する必要がなくなります。 ユーザーには作業に必要な最小限の権限を付与できるため、企業のセキュリティリスクが軽減されます。
ID 管理とアクセス制御
RAM を使用すると、Alibaba Cloud アカウントで複数のユーザー ID を作成および管理できます。また、異なる権限付与ポリシーを異なる ID や ID グループに割り当てて、 異なるリソースアクセス権限を異なるユーザーに付与することができます。
ID 管理
RAM ユーザー ID は、コンソールまたは Open API を使用して Alibaba Cloud リソースに対する操作を実行するユーザー、システム、またはアプリケーションを示します。 さまざまな適用シナリオにおける ID 管理に対応するために、RAM には RAM-User と RAM-Role の 2 つのユーザー ID タイプが用意されています。
-
RAM-User は、固定の ID と ID 認証アクセスキーを持つ実際の ID であり、 一般的には、特定のユーザーまたはアプリケーションに対応します。
-
RAM-Role は仮想 ID であり、固定の ID は持っていますが、ID 認証情報アクセスキーを持ちません。
RAM-Role を使用するには、実際の ID に関連付ける必要があります。 RAM-Role は複数の実際の ID と関連付けることができます。例:現在の Alibaba Cloud アカウントの RAM-User、 別の Alibaba Cloud アカウントの RAM-User、Alibaba Cloud サービス (例: EMR、MTS)、外部の実際の ID (例: ローカルエンタープライズアカウント) の RAM-Userなど。
権限付与
RAM を使用すると、Alibaba Cloud アカウントで複数の権限付与ポリシーを作成および管理できます。 基本的には、各権限付与ポリシーは権限のコレクションであり、 管理者が、1 つ以上の権限付与ポリシーを RAM ユーザー (RAM-User、RAM-Role など) に割り当てることができます。
RAM の権限付与ポリシー言語によって、権限付与ポリシーの内容を詳細に記述します。 ポリシーによって権限を API 操作とリソース ID に付与し、複数の制限 (例: ソース IP、アクセス時間、MFA) を指定できます。
Alibaba Cloud アカウントと RAM ユーザー
- 所有権の観点に基づくと、Alibaba Cloud アカウントとそのアカウントの RAM ユーザーは親子関係にあります。
- Alibaba Cloud アカウントは、Alibaba Cloud リソースの所有権とリソース消費の請求を確認するための基本エンティティです。
- RAM ユーザーは、特定の Alibaba Cloud アカウントの RAM インスタンスにのみ存在します。 RAM ユーザーはリソースを所有しません。付与された権限でユーザーが作成したリソースは親アカウントに属します。 また、RAM ユーザーに課金されることもありません。許可された操作によって発生した費用はすべて、親アカウントに請求されます。
- 権限の面では、Alibaba Cloud アカウントとそのアカウントの RAM ユーザーの間には、(Linux のように) root とユーザーの関係があります。
- root はリソースに対するすべての操作と制御の権限を持ちます。
- RAM ユーザーは root によって付与された権限しか持ちません。 さらに、root はユーザーに付与した権限をいつでも取り消すことができます。
RAM を使用してエンタープライズレベルのクラウドリソース管理
RAM は、次のエンタープライズシナリオに適用されます:
- エンタープライズは、各オペレータ(またはアプリケーション)のアカウントと権限を簡単に管理する必要があります。
- 企業は、各オペレーター(またはアプリケーション)の費用と料金を別々に計算したくありません。
具体的な要件は次のとおりです:
- A 社には Alibaba Cloud アカウントが 1 つだけ必要です(図では companyA@aliyun.com)。
- すべてのリソースはこの Alibaba Cloud アカウントに属します。 リソース所有者として、このアカウントはすべてのリソースを完全に制御し、 すべての請求の支払いを担当します。
- A は RAM を使用して、アカウント(リソースの O&M 制御操作を実行する従業員)のオペレータ用の独立したユーザーアカウントを作成し、承認管理を実行できます。
- ユーザーアカウントにはリソースがありません。 デフォルトでは、作成するリソースに対するアクセス許可はなく、アクセス許可の承認後にのみリソースに対する操作を実行できます。
- ユーザーアカウントの操作によって発生した料金は、プライマリアカウントに請求されます。 ユーザーアカウントの個別請求はサポートされていません。
ラーニングパス
RAMの専門家になるために必要な知識は、RAM ラーニングパス を参考してください。