edit-icon download-icon

ユーザー

最終更新日: Apr 03, 2018

RAMユーザーは、ユーザーやアプリケーションなどのIDと関連付けるためにRAMで使用されるIDです。新しいユーザーまたはアプリケーションがクラウドリソースにアクセスできるようにするには、RAMユーザーに権限を作成して付与します。一般的な手順は次のとおりです。

  1. プライマリアカウント(またはRAM操作権限を持つRAMユーザー)を使用して、RAMコンソールにログオンします。
  2. RAMユーザーを作成し、ユーザーを1つ以上のグループに追加します。
  3. 1つ以上の許可ポリシーをユーザー(またはユーザーが所属するグループ)に追加します。
  4. ユーザーの権限を作成します。
    • ユーザーがコンソールを使用して操作を実行する場合は、ユーザーのログインパスワードを設定する必要があります。
    • ユーザーがAPIを呼び出す場合は、そのユーザーのAPI AccessKeyを作成する必要があります。
  5. ユーザーが特別な権限(ECSインスタンスを停止するなど)を使用する必要がある場合は、そのユーザーに対してMFAを設定し、MFAパスワードを使用してAlibaba Cloudコンソールにログオンする必要があります。
  6. ログインURL、ユーザー名、およびログインパスワードをユーザーに提供します。

このドキュメントでは、RAMユーザーの作成ログオンパスワードの作成AccessKeyRAMユーザの仮想MFAデバイスを有効にするなどのRAMユーザー関連操作について説明します。

RAM設定

設定では、エンタープライズエイリアス、RAMユーザーのパスワードポリシー、およびセキュリティポリシーを設定できます。

エンタープライズエイリアスを設定する

手順は次のとおりです。

  1. [RAMコンソール]にログインします。

  2. 設定> ユーザのエイリアス設定を選択します。

  3. [ユーザのエイリアスの編集]をクリックします。

  4. 指示に従ってユーザのエイリアスを入力し、[OK]をクリックします。

パスワードポリシーを設定する

手順は次のとおりです。

  1. [RAMコンソール]にログインします。

  2. 設定> パスワードの強度の設定を選択します。

  3. パスワードポリシーを設定し、[変更を保存]をクリックします。

注意:以後作成するすべてのRAMユーザーは、パスワードの強度設定に準拠している必要があります。

セキュリティ設定を設定する

手順は次のとおりです。

  1. [RAMコンソール]にログインします。

  2. 設定> サブユーザーのセキュリティの設定を選択します。

  3. セキュリティポリシーを設定し、[変更を保存]をクリックします。

RAMユーザーを作成する

手順は次のとおりです。

  1. [RAMコンソール]にログインします。

  2. ユーザー > 新規ユーザー を選択します。

  3. ダイアログボックスにユーザー情報を入力して、[OK]をクリックします。

ログオンパスワードを設定する

RAMユーザーが管理コンソールにアクセスできるようにするには、そのユーザーのログオンパスワードを作成します。手順は次のとおりです。

  1. [RAMコンソール]にログインします。 ユーザーをクリックします。

  2. [ユーザーの詳細] ページに移動するユーザーを選択します。

  3. [コンソールへのログインの有効化]をクリックし、ダイアログボックスでユーザーの初期パスワードを設定します。また、最初のログオン時にユーザーがこのパスワードを変更する必要があることを指定することもできます。

  4. ログインパスワードを設定した後、 ユーザーの詳細 ページで MFA パスワードリセットコンソールログオンを有効にすることもできます。

    1

アクセスキーを作成する

AccessKey(AK)はログオンパスワードと同等ですが、さまざまなシナリオで使用されます。AccessKeysはクラウドサービスAPIを呼び出すために使用され、ログインパスワードはコンソールにログインするために使用されます。ユーザーがAPIを呼び出す必要がない場合は、そのユーザーのAccessKeyを作成する必要はありません。

AccessKeyを作成するには、次の手順を実行します。

  1. [RAMコンソール]にログインします。 [ユーザー]をクリックします。

  2. [ユーザーの詳細]ページを開くユーザーを選択します。

  3. [ユーザーのAccessKey]セクションの[AccessKeyの作成]をクリックして、ダイアログボックスに新しいAccessKeyを作成します。

    2

    注意

    新しいアクセスキーは作成時にのみ表示されます。セキュリティ上の理由から、RAMはAccessKeyクエリインターフェイスを提供しません。したがって、AccessKeyは安全な場所に保管してください。AccessKeyが公開された場合または紛失した場合は、新しいものを作成する必要があります。

仮想MFAデバイスを有効にする

マルチファクタ認証(MFA)は、シンプルで効果的なベストプラクティスであり、追加のセキュリティ保護を提供できます。

MFAを有効にした後、ユーザーがAlibaba Cloudにログインすると、ユーザーはユーザー名とパスワード(第1セキュリティーファクター)を入力し、ユーザーのVMFAによって提供される可変検証コード(第2セキュリティーファクター)を入力する必要があります。これらのすべての要素が連携して、お客様のアカウントに対してより高いセキュリティ保護を提供します。

仮想MFA(VMFA)デバイスは、6桁の確認コードを生成するアプリケーションです。これは、時間ベースのワンタイムパスワードアルゴリズム(TOTP)標準(RFC 6238)に準拠しています。このアプリケーションはスマートフォンを含むモバイルハードウェアデバイス上で実行でき、簡単にアクセスできます。

RAMユーザーに対して仮想MFAデバイスを有効にするには、次の手順を実行します。

  1. [RAMコンソール]にログインします。 [ユーザー]をクリックします。

  2. [ユーザーの詳細]ページを開くユーザーを選択します。

  3. [MFAデバイス]セクションの[VMFAデバイスの有効化]をクリックします。

    3

    注意:次の操作を行う前に、スマートデバイス(スマートフォンが最適)にMFAアプリケーション(Google 認証システムのインストールおよび使用ガイドなど)をインストールしてください。

  4. [仮想MFAデバイスの有効化]ページで、次のいずれかを実行して、MFAアプリケーションをRAMユーザーに関連付けます。

    • 生成されたQRコードをスマートフォンのMFAアプリケーションでスキャンします。
    • MFAアプリケーションで 手動による情報の取得 の情報を手動で入力します。

      関連付けが確立されると、RAMユーザーアカウントがMFAアプリケーションに追加され、30秒ごとに動的セキュリティコード(Time-based One-Time Password、TOTP)が提供されます。

  5. MFAアプリケーションから取得した2つの連続したセキュリティコードを最初のセキュリティコード第2のセキュリティコードのボックスに入力し、有効化をクリックします。

RAMユーザーにログインする

RAM - Alibaba Cloudアカウントとは異なるため、ログインポータルが異なります。RAM - ユーザーはAlibaba Cloudアカウントのログインページからログインできません。

[RAMコンソールの概要]ページには、RAM-Userログオンリンクがあります。RAM - ユーザはログインURLを通じてAlibaba Cloudコンソールにログインできます。

4

注意:デフォルトでは、RAMユーザーにはアクセス権がありません。権限のないRAMユーザーはコンソールにログインできますが、操作は実行できません。

RAMユーザーに許可を与える方法の詳細については、権限の付与を参照してください。

RAM ユーザーを削除する

警告:RAM ユーザーを削除する前に考えてください。ユーザーが特定のサービスを実行している場合、このユーザーを削除するとサービスが失敗する可能性があります。

ユーザーが特定のサービスを実行している場合、このユーザーを削除するとサービスが失敗する可能性があります。

  1. [RAM コンソール]にログインします。

  2. 削除する RAM ユーザーを探し、 アクション エリアで Delete をクリックします。
    1

  3. 表示されたユーザーの削除ダイアログボックスで、 [関連付けの強制削除] チェックボックスをオンにして、[ OK ]をクリックします。2