シナリオの説明

エンタープライズ A が、プロジェクトのクラウド化のために ECS インスタンス、RDS インスタンス、SLB インスタンス、および OSS バケットなどのいくつかのタイプのクラウドリソースを購入すると仮定します(Project-X)。 エンタープライズ A の従業員は、これらのリソースを操作して、購入、O&M、オンラインアプリケーションなどを実行する必要があります。 従業員がそれぞれに責任が異なるため、異なる権限が必要です。

  • セキュリティ上の理由から、A はアカウント AccessKey(AK)を従業員に公開したくありません。 代わりに、A は従業員用に異なる RAM ユーザーアカウントを作成し、各 RAM ユーザーアカウントに異なる権限を付与しようと考えています。
  • 従業員は自分の RAM ユーザーアカウントで付与された権限でのみリソースを操作できます。RAM ユーザーアカウントは請求書の支払いをする必要はありません。 アカウントの所有者はすべての請求書の支払いをします。
  • アカウントの所有者は、いつでも RAM ユーザーの権限を取り消し、 RAM ユーザーアカウントを削除できます。

要件分析

上記のシナリオの分析は次のとおりです。

  • A は、アカウントパスワードまたは AK の潜在的な漏洩によって引き起こされる制御不能なリスクを回避するために、従業員にアカウントを共有しません。
  • 異なる従業員には、独立した権限を持つ独立したユーザーアカウント(またはオペレータアカウント)が割り当てられているため、各自の責任は各自の権限と一致しています。
  • すべてのユーザーアカウントによって実行されたすべての操作を監査可能です。
  • 各オペレータの費用は別々に計算されます。 アカウントの所有者はすべての請求書の支払いをします。

対応策

次の図に示すように、RAM によって提供されるユーザーアカウントの権限および管理機能を使用します。

図 1. 対応策の概要


手順は以下のとおりです。

  1. アカウントのパスワードが漏洩する可能性があることによって引き起こされるリスクを防ぐために MFAを設定 します。
  2. RAM を有効化します。
  3. 各従業員(またはアプリケーションシステム)用に RAM ユーザーを作成し、ログインパスワードを設定するか、必要に応じてそれらのユーザーの AK を作成します。
  4. RAM ユーザーグループの作成 複数の従業員が同じ責任を負っている場合は、グループを作成することをお勧めします。
  5. 権限の付与 グループまたはユーザーに 1 つや複数のシステムポリシーをアタッチします。 きめ細かい権限付与を行うには、カスタムポリシーを作成してグループまたはユーザーにアタッチします。