本ページでは、Alibaba Cloud RAM を使用してユーザーの権限とリソースを管理する方法を説明するシナリオ例を示します。
シナリオ
Enterprise A が、Project-X 用に ECS インスタンス、RDS インスタンス、SLB インスタンス、OSS バケットなど、数種類の Alibaba Cloud リソースを購入したとします。このプロジェクトでは、複数の従業員がこれらのクラウドリソースに対して操作を実行する必要があります。 具体的には、それぞれの従業員が異なる操作を実行するための多様な権限が必要となります。
要件分析
- アカウントパスワードまたは AccessKey の漏洩を防ぐため、従業員は Alibaba Cloud アカウントを共有しません。
- さまざまな従業員用に独立した RAM ユーザーを作成し、RAM ユーザーには独立した権限を付与します。
- すべての RAM ユーザーのすべての操作が監査可能です。
- 料金は各 RAM ユーザーにではなく、RAM ユーザーが属する Alibaba Cloud アカウントに課金されます。
ソリューション
- Alibaba Cloud アカウントのパスワードの漏洩に関するリスクを回避するため、多要素認証 (MFA) を設定します。 詳細は、(オプション)MFA の設定をご参照ください。
- さまざまな従業員 (またはアプリケーション) 用に RAM ユーザーを作成し、ログインパスワードを設定するか、AccessKeys を作成します。 詳細は、RAM ユーザーの作成をご参照ください。
- 複数の RAM ユーザーに同じ権限が必要な場合は、ユーザーグループを作成し、対象ユーザーをこのユーザーグループに追加することを推奨します。 詳細は、(オプション)RAM ユーザグループの作成をご参照ください。
- グループまたはユーザーに 1 つまたはそれ以上のシステムポリシーを添付します。 詳細は、RAM での権限付与をご参照ください。 きめ細かい権限管理では、1 つまたはそれ以上のカスタマイズポリシーを作成し、それらを個々のユーザーまたはユーザーグループに添付できます。 詳細は、カスタマイズポリシーの作成をご参照ください。