はじめに
今回は、AlibabaCloudのRAM(Resource Access Management)に触れます。
ドキュメントはこちら
Resource Access Management - クラウドの ID およびアクセス管理サービス | Alibaba Cloud
RAM の概要 - はじめに| Alibaba Cloud ドキュメントセンター
基本的なところ
Alibaba Cloud アカウント
一般的にパブリッククラウドではまずアカウントを作成します。メールアドレスとパスワードで作成します。
これが、Alibaba Cloud アカウントとなります。
次に、クレジットカードを紐づけ従量課金できるようにし
ECSなど使えるようにする状態です。
Alibaba Cloud アカウントは
リソースに対してroot権限を保持してます。
さて、この状態でメールアドレスとパスワードがあれば
悪意ある人だと
インスタンスを起動できるので
高額なインスタンスを起動することもできます。
各所のリージョンですので、 x17 です。(2018.07時点)
オンプレ環境だとすると
サーバを購入し
DCに入館でき(指紋認証したり、警備からラックの鍵を手渡しされたりなど)
サーバをラックに設置できて稼働できる
のと同等です。
それがリージョンの数 x17 分です。
複数のデータセンター(東京、香港など)どこでも入れて
なんでもできるのと同じになります。
Alibaba Cloud アカウントをクラックされると大変なんですが
その対策は、また別の機会にお話しします。
RAMとは
ここで本題のRAMとは、AlibabaCloudのリソースアクセスに対しコントロールする管理のためのものになります。
なぜ、このような管理が必要なのか?
組織では
インフラエンジニアや
アプリケーション開発エンジニアなど
様々なユーザーがいます。
またシステムやアプリケーションが人ではない使うユーザーというのもあります。
もしDBの調子がおかしくなった場合に
プロジェクトに関わる全ての人たちが
停止や再起動ができるというのは好ましくありません。
アプリケーション開発エンジニアが
DBを操作することは、ほとんどないでしょう。
前述のAlibaba Cloud アカウントを共有し
「これはあなたは触れてはいけません」
なんて運用しても大変です。
RAMの情報を整理
ドキュメントからRAMの情報を整理して表にしてみます。
|種類|リソースの保持の有無
|固定のIDの有無|ID 認証情報アクセスキーの有無|権限付与の必要|
|:---|:---|:---|:---|:---|
|Alibaba Cloud アカウント|o|x|x|x|
|RAMユーザー|x|o|o|o|
|RAMロール|x|o|x|o|
まとめ
適切に権限を設定したRAMを使いこなすことで
システムを安全に開発/運用することができます。
セキュリティ上も効果があり、
業務を継続するに非常に重要なものです。