この記事は Alibaba Cloud の日本サイト の環境(ドキュメントやアカウント、そのアカウントでの検証結果)に基づいて記載しています。 日本サイトと国際サイトでは各プロダクトごとに提供機能が一部異なることがあります(そのほとんどは国際サイトの方が日本サイトよりも多機能になっている)。記事の内容は適宜最新化する予定です。
Alibaba Cloudのコンソール画面にはマスターアカウントまたはRAMユーザからログインします。 この時、どのようなセキュリティ強化を実施できるかご紹介します。
具体的にはRAM設定から以下の3つのカテゴリーについて設定を実施することが出来ます。
- パスワード強度の設定
- ユーザのエイリアス設定
- サブユーザーのセキュリティ設定
目次
パスワード強度の設定
コンソールのRAMの設定から”パスワードの強度の設定”にアクセスします。
パスワードに関する様々なポリシーを指定可能です。以下は既定の設定ですが、文字数や含める文字、期限などを変更することでセキュリティを強化できます。
ユーザーのエイリアス設定
以下の画面では別途設定済みのエイリアス情報を消去しているのでわかりづらいのですが、RAMのログインURLについて、任意の文字列(エイリアス)を指定することが可能です。 RAMのログインURLはアカウントIDの数字文字列が既定ですが、こちらを変更することでIDを知る第三者からのRAMログインの不正アクセスのリスクを軽減できます。
サブユーザーのセキュリティ設定
ここではサブユーザ(RAMユーザ)に関する様々な設定が可能です。 一番の注目は”接続許可IPアドレス”です。 こちらで接続元のIPアドレスを制限できます。 しかし、対象はRAMユーザのみでマスターアカウントは対象外となることには気をつけましょう。
まとめ
簡単に利用開始出来るのがパブリッククラウドの良さです。一方、アカウント情報が乗っ取られてしまうと情報漏洩やランサムウェア的な脅迫、意図しない計算リソース消費(例えばビットコインのマイニングに利用される、不正ファイルの配布元とされる)などリスクが多々あります。 これはオンラインで全て制御出来ることの長所でもあり短所でもあると思います。
今回紹介した機能や前回記事のMFAなどを利用することでリスクを軽減することは可能ですし、する必要があると考えます。 参考になれば幸いです。
また、初回コンソールログイン時にウィザードでMFAや今回紹介した内容の設定を促す機能が追加されることがユーザー視点ではありがたいはず。 それまでの緩和策として、Alibaba Cloud利用開始時のやることリスト、チェックシート、チェックスクリプトを次回の記事では紹介したいと思います。
以上