Alibaba Cloud Resource Access Management (RAM) のユーザーを作成してみた

Alibaba Cloud Resource Access Management (RAM) 入門、の前にとりあえず触ってみました。
2020.08.31

哈喽大家好、コンサルティング部の西野です。

先日 Alibaba Cloud のアカウントを作成し 、そのあとコンソールをのぞいてみました。 これから各サービスを触っていこうと思うのですが、その前にもう一つやることがあります。

本稿は、 Alibaba Cloud Resource Access Management (RAM) に入門する前段階としてひとまず触ってみた様子の紹介です。

問題

先日のブログでお伝えしたとおり、最初に作成したアカウントはプライマリアカウントと呼ばれ、あらゆる権限を持つ最も強力なアカウントです。

複数の個人が協同で作業をするとき、個々人の役割は異なるケースが一般的です。アカウント流出や作業ミスなどの影響を極小化するためそれぞれが持つアカウントを分離し権限を細かく設定したいですが、プライマリアカウントの場合こうした要求には対応していません。

Resource Access Management とは

Resource Access Management

上記の問題を解決するためのサービスが Resource Access Management (以下、RAMと記します)です。 開発担当者・運用担当者などの個人や個々のアプリケーションに専用のユーザ( RAM ユーザー)を発行し、それぞれに異なる権限を付与できます。 この RAM の仕組みにより、個別のリソースやアカウント全体に対するアクセスの安全性を高められます。

特段の事情がない限りプライマリアカウントでの作業は避け、適切な権限を付与した RAM ユーザーを使用しましょう。

やってみた

下記の作業を実施します。

  • RAM ユーザーの作成する
  • RAM ユーザーグループを作成し、RAM ユーザーを所属させる
  • RAM ユーザーグループに対して権限を割り当てる
  • RAM ユーザーでサインインし、MFA を設定する

新たに出てきた用語についてはそれぞれの節で説明いたします。

RAM ユーザーの作成する

先述した通り、RAM ユーザーは個人やアプリケーションごとに発行して用いるユーザーです。
まずはこの RAM ユーザーを作成しましょう。

プライマリアカウントでサインインした後、下記の URL から RAM のコンソールにアクセスします。

https://ram.console.aliyun.com/

左ペインの [ ユーザー ] をクリックし、続けて [ ユーザーの作成 ] をクリックします。

コンソールに従いそれぞれ選択・入力し、[ OK ] をクリックします。

それぞれの説明は以下のとおりです。

項目 説明
ログイン名 RAM ユーザーによるコンソールサインインなどに用いる ID です。
表示名 ログイン名を別名で表示してくれる設定項目です。漢字も使用できます。
アクセスモード アクセスの方式を設定します。コンソール(個人によるコンソールログイン)もしくはプログラムによるアクセスのいずれかを選択するのがベストプラクティスです。検証用なので両方にチェックを入れています。
コンソールパスワード コンソールログイン時に使用するパスワードを入力します。
パスワードのリセット コンソールパスワードを変更する必要がない場合は [ 不要 ] を選択します。他者が使用する RAM ユーザーを作成している際は [ 次回ログイン時に必要 ] をクリックすると良いでしょう。
多要素認証 MFA の有効化を強制したい場合 [ MFA の有効化が必要 ] を選択しましょう。後の節でもう少し詳しく見ていきます。

[ CSV ファイルのダウンロード ] をクリックすると、ログイン名・コンソールログインパスワード・アクセスキー ID・アクセスキーシークレットが記載されたファイルをダウンロードできます。忘れずにダウンロードしておきましょう。

RAM ユーザーグループを作成し、RAM ユーザーを所属させる

RAM ユーザーグループは RAM ユーザーをまとめるグループです。この RAM ユーザーグループにはリソースのアクセス権限を割り当てられ、RAM ユーザーは所属している RAM ユーザーグループの権限を継承します。

RAM ユーザーが多い環境において、個々の RAM ユーザーに権限を割り当てていく作業は手間がかかります。特に理由がない限り RAM ユーザーを RAM ユーザーグループに所属させ、このグループに対して権限付与を行なうと良いでしょう。

RAM コンソールにアクセスし左ペインの [ グループ ] をクリックした後、[ グループの作成 ] をクリックします。

グループ名と表示名を設定し、[ OK ] をクリックします。

続けて [ グループメンバーの追加 ] をクリックします。

「用户」(ユーザー)欄にて先ほど作成した RAM ユーザーをクリックすると、右側の「已选择」(選択済み)欄に当該 RAM ユーザーが追加されます。 この状態で [ 确定 ] (確定)をクリックしてください。

RAM ユーザーグループに対して権限を割り当てる

RAM コンソールにアクセスし左ペインの [ グループ ] をクリックした後、RAM ユーザーグループ名をクリックします。

権限タブにて [ 権限の追加 ] をクリックします。

授权范围(権限を付与する範囲)として [ 云账号全部资源 ] (アカウント内のすべてのリソース) を選択します。
权限策略名称(権限付与ポリシーの名称)から [ AdministratorAccess ] を選択し、右側の「已选择」(選択済み)欄に表示されていることを確認してから [ OK ] をクリックします。

※ AdministratorAccess の権限はプライマリアカウントと同程度に強力なものです。取り扱いにはご注意ください。今回は検証用としてこのポリシーを付与しています。

RAM ユーザーでサインインし、MFA を設定する

下記の RAM ユーザーサインイン用 URL にアクセスします。

https://signin.alibabacloud.com/login.htm

ユーザー名とパスワードを入力してサインインします。これらは RAM ユーザー作成時にダウンロードした CSV ファイルに記載してあります (UserPrincipalName および Password)。

RAM ユーザー作成時に多要素認証の項目において、[ MFA の有効化が必要 ] を選択していた場合、このタイミングで MFA 設定を要求されます。 MFA を設定を有効化しない限り、この RAM ユーザーでサインインすることはできないようです。

セキュリティコードを入力し [ 有効化 ] をクリックすると MFA 設定とサインインが同時に行われます。

終わりに

これにて Alibaba Cloud を触っていくための準備が整いました。

このブログがほんの少しでも世界を良くできれば嬉しいです。
コンサルティング部の西野 (@xiyegen) がお送りしました。