RAMユーザーは、ユーザーやアプリケーションなどのIDと関連付けるためのRAMで使用されるIDです。 新しいユーザーまたはアプリケーションがクラウドリソースにアクセスできるようにするには、 RAMユーザーに権限を作成して付与することが必要です。 一般的な手順は次のとおりです。
- プライマリアカウント(またはRAM操作権限を持つRAMユーザー)を使用して、RAMコンソールにログインします。
- RAMユーザーを作成し、ユーザーを複数のグループに追加します。
- 複数の権限付与ポリシーをユーザー(またはユーザーが所属するグループ)に追加します。
- ユーザーの権限を作成します。 ユーザーがコンソールを使用して操作を行う場合は、ユーザーのログインパスワードを設定する必要があります。 ユーザーがAPIを呼び出し操作を行う必要がある場合は、そのユーザーのためにAPI AccessKeyを作成する必要があります。
- ユーザーが特別な権限(ECSインスタンスを停止するなど)を使用する必要がある場合は、そのユーザーのためにMFAを設定し、ユーザーにMFAパスワードを使用してAlibaba Cloudコンソールにログインするよう要求できます。
- ログインURL、ユーザー名、およびログインパスワードをユーザーに提供します。
RAM設定
RAMコンソールで
- エンタープライズ別名を設定するには、 .
- エンタープライズ別名を入力してOKをクリックします。
パスワードポリシーの設定
- RAMコンソールで、 .
- ページの指示に従って、パスワードの長さ、文字列のフォーマット、有効期限、再入力回数ポリシーなどを設定し、変更の保存をクリックして設定を有効にします。
注 パスワードポリシーが有効になると、 これ以降作成されるあらゆるRAMユーザーはパスワードの強度設定に従わなければなりません。
セキュリティポリシーの設定
- RAMコンソールで、 .
- サブユーザーのセキュリティ設定では、セキュリティポリシーを設定し、
- 変更の保存をクリックしてください。
RAMユーザーの作成
操作手順は下記の通りです。
- RAMコンソールで、 .
- ダイアログボックスにユーザー情報を入力してOKをクリックします。
RAMユーザー作成後、必要に応じて次の操作を実行できます:
ログインパスワードの設定
RAMユーザーをRAMコンソールにアクセスできるようにするには、ユーザーのログインパスワードを設定します。 手順は次のとおりです。
- RAMコンソールの左側のユーザーをクリックします [ユーザー管理] ページで、ログイン名を選択します。 ログイン名、または管理をクリックします
- ユーザーの詳細ページで、コンソールへのログインの有効化をクリックします。
図 1. ログインパスワードの設定
- ポップアップウィンドウで、ユーザーの初期パスワードを設定できます。 ログイン時の強制的なパスワード変更を指定できます。
AccessKey の作成
APIを呼び出す必要のあるユーザーにAccessKeyを作成するには、次を参照してください:
- RAMコンソールで、ユーザーをクリックします。 [ユーザーの詳細]ページを開き、ログイン名を選択します。 ログイン名または管理をクリックします。
- ユーザーの詳細ページで、 AccessKeyの作成をクリックします。
- ダイアログボックスに新しいAccessKey情報を確認し、AK情報を保存をクリックします。
- 新しいAccessKeyは作成の段階にのみ表示されます。 セキュリティ上の理由から、RAMはAccessKeyクエリインターフェイスを提供しません。 よって、AccessKeyは安全な場所に保管してください。
- AccessKeyを公開したり、紛失した場合は、新しく作成する必要があります。
仮想MFAデバイスの有効化
マルチファクタ認証(MFA)は、シンプルで効果的なベストプラクティスであり、更なるセキュリティ保護を提供できます。 MFAを有効にし、 ユーザーがAlibaba Cloudにログインするには、まずユーザー名とパスワードの入力を要求されます(第1セキュリティーファクター)、 そしてVMFAによって提供される可変検証コード(第2セキュリティーファクター)を入力する必要があります。 このすべての要素が連携することで、アカウントのセキュリティ保護がさらに強化されます。
仮想MFA(VMFA)デバイスは、6桁の確認コードを生成するアプリケーションです。 これは、時間ベースのワンタイムパスワードアルゴリズム(TOTP)標準 (RFC 6238)に準拠しています。 このアプリケーションはスマートフォンを含むモバイルハードウェアデバイス上で実行でき、簡単にアクセスできます。
RAMユーザーの仮想MFAデバイスを有効にするには、次の手順に従ってください:
- RAMコンソールにログインし、左側のメニュでユーザーをクリックしてください [ユーザー管理]ページで、ログイン名を選択します。 ログイン名または管理をクリックします。
- ユーザーの詳細ページで、 VMFAデバイスの有効化をクリックします。
図 2. MFAの設定
RAMユーザーのログイン
ログイン画面RAMユーザーはAlibaba Cloudアカウントとは異なるため、ログインポータルが異なります。 RAMユーザーはAlibaba Cloudアカウントのログインページからログインできません。
RAMユーザーのログインページ:https://signin.aliyun.com/login.htm (ログインページを ダッシュボードにて確認できます。)
ログイン情報RAM ユーザーとしてログオンするには、エンタープライズエイリアス、サブユーザー名、パスワードが必要です。
エンタープライズエイリアスはRAM初期設定で設定したものです。 エンタープライズエイリアスを設定していない場合は、デフォルト設定としてクラウドアカウントID名を使いします。(次のパスで確認できます。
.RAMユーザーの削除
RAMユーザーを削除するには、次の手順を参照してください:
- RAMコンソールにログインし、左側のメニューでユーザーをクリックして、ユーザー管理ページを開きます。
- 目標RAMユーザーを選定し、操作列での削除をクリックします。
図 3. RAMユーザーを削除します。
- ユーザーの削除のダイアログボックスで、関連付けの強制削除チェックボックスをチェックし、OKをクリックします。
図 4. 削除操作を確認します。