はじめに

今回は、AlibabaCloudのRAM(Resource Access Management)に触れます。

ドキュメントはこちら

一般的にパブリッククラウドではまずアカウントを作成します。メールアドレスとパスワードで作成します。
これが、Alibaba Cloud アカウントとなります。

次に、クレジットカードを紐づけ従量課金できるようにし
ECSなど使えるようにする状態です。

Alibaba Cloud アカウントは
リソースに対してroot権限を保持してます。

さて、この状態でメールアドレスとパスワードがあれば
悪意ある人だと
インスタンスを起動できるので
高額なインスタンスを起動することもできます。
各所のリージョンですので、 x17 です。(2018.07時点)

オンプレ環境だとすると
サーバを購入し
DCに入館でき(指紋認証したり、警備からラックの鍵を手渡しされたりなど)
サーバをラックに設置できて稼働できる
のと同等です。
それがリージョンの数 x17 分です。

イメージすると、沢山の鍵を持ってる感じですね。

複数のデータセンター(東京、香港など)どこでも入れて
なんでもできるのと同じになります。

Alibaba Cloud アカウントをクラックされると大変なんですが
その対策は、また別の機会にお話しします。

ここで本題のRAMとは、AlibabaCloudのリソースアクセスに対しコントロールする管理のためのものになります。

なぜ、このような管理が必要なのか？

組織では
インフラエンジニアや
アプリケーション開発エンジニアなど
様々なユーザーがいます。
またシステムやアプリケーションが人ではない使うユーザーというのもあります。

もしDBの調子がおかしくなった場合に
プロジェクトに関わる全ての人たちが
停止や再起動ができるというのは好ましくありません。
アプリケーション開発エンジニアが
DBを操作することは、ほとんどないでしょう。

前述のAlibaba Cloud アカウントを共有し
「これはあなたは触れてはいけません」
なんて運用しても大変です。

ドキュメントからRAMの情報を整理して表にしてみます。

|種類|リソースの保持の有無
|固定のIDの有無|ID 認証情報アクセスキーの有無|権限付与の必要|
|:---|:---|:---|:---|:---|
|Alibaba Cloud アカウント|o|x|x|x|
|RAMユーザー|x|o|o|o|
|RAMロール|x|o|x|o|

適切に権限を設定したRAMを使いこなすことで
システムを安全に開発/運用することができます。
セキュリティ上も効果があり、
業務を継続するに非常に重要なものです。