すべてのプロダクト
Search

このプロダクト

    ApsaraMQ for Kafka:Alibaba Cloud アカウント間で権限を付与する

    ドキュメントセンター

    ApsaraMQ for Kafka:Alibaba Cloud アカウント間で権限を付与する

    最終更新日:Jan 11, 2025

    Resource Access Management (RAM) ロールを使用して、Alibaba Cloud アカウント間で権限を付与できます。このようにして、企業は別の企業の ApsaraMQ for Kafka リソースにアクセスできます。

    背景情報

    企業 A は ApsaraMQ for Kafka をアクティブ化し、企業 B にインスタンス、トピック、グループ など、企業 A の ApsaraMQ for Kafka リソースの管理を要求しています。以下の項目は、企業 A の詳細な要件を示しています。

    • 企業 A はビジネスシステムに集中し、ApsaraMQ for Kafka リソースの所有者としての役割のみを果たしたいと考えています。企業 A は、企業 B に ApsaraMQ for Kafka リソースの保守、監視、および管理を承認できます。

    • 企業 B に従業員が入社または退社するたびに、企業 A は権限設定を変更する必要はありません。企業 B は、RAM ユーザーに企業 A のクラウド リソースに対するきめ細かい権限を付与できます。RAM ユーザー資格情報は、従業員またはアプリケーションに割り当てることができます。

    • 企業 A と企業 B の契約が終了した場合、企業 A は企業 B から権限を取り消すことができます。

    手順 1:企業 A が RAM ロールを作成する

    企業 A の Alibaba Cloud アカウントを使用して RAM コンソールにログオンし、RAM ロールを作成します。この RAM ロールは、企業 B の Alibaba Cloud アカウントに割り当てられます。

    1. 管理権限を持つ RAM ユーザーとして RAM コンソール にログオンします。

    2. 左側のナビゲーション ペインで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、[ロールの作成] をクリックします。 image

    4. [ロールの作成] ページの [ロール タイプの選択] セクションで、[alibaba Cloud アカウント] を選択し、[次へ] をクリックします。image

    5. [RAM ロールの名前] フィールドに RAM ロールの名前を入力します。[信頼できる Alibaba Cloud アカウントの選択] パラメーターを [その他の Alibaba Cloud アカウント] に設定し、企業 B の Alibaba Cloud アカウントの ID を入力します。次に、[OK] をクリックします。

      説明

      • RAM ロールの名前は最大 64 文字で、文字、数字、およびハイフン (-) を使用できます。

      • アカウント ID は、[アカウント管理][セキュリティ設定] ページで確認できます。

    手順 2:企業 A が RAM ロールに権限を付与する

    企業 B が企業 A の ApsaraMQ for Kafka リソースにアクセスするために必要な権限を RAM ロールに付与します。

    1. RAM 管理者として RAM コンソール にログオンします。

    2. 左側のナビゲーション ペインで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、管理する RAM ロールを見つけ、権限の付与[アクション] 列の をクリックします。

      image

      複数の RAM ロールを選択し、RAM ロール リストの下部にある [権限の付与] をクリックして、一度に複数の RAM ロールに権限を付与することもできます。

    4. [ポリシー] セクションの [権限の付与] パネルで、検索ボックスに追加するポリシーを入力し、検索アイコンをクリックして検索します。検索結果でポリシーを選択し、右側の [選択済みポリシー] リストに追加します。次に、[権限の付与] をクリックします。

      説明

      RAM ロールと RAM ユーザーに ApsaraMQ for Kafka へのアクセスを承認するためにアタッチできるポリシーについては、RAM ポリシー をご参照ください。

    手順 3:企業 B が RAM ユーザーを作成する

    企業 B の Alibaba Cloud アカウントを使用して RAM コンソールにログオンし、RAM ユーザーを作成します。

    手順

    1. 管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログオンします。

    2. 左側のナビゲーション ペインで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。image

    4. ユーザーアカウント情報[ユーザーの作成] ページの セクションで、次のパラメーターを設定します。

      • [ログオン名]: ログオン名は最大 64 文字で、文字、数字、ピリオド (.)、ハイフン (-)、およびアンダースコア (_) を使用できます。

      • [表示名]: 表示名は最大 128 文字です。

      • [タグ]: edit アイコンをクリックし、タグ キーとタグ値を入力します。RAM ユーザーに 1 つ以上のタグを追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。

      説明

      [ユーザーの追加] をクリックして、一度に複数の RAM ユーザーを作成できます。

    5. [アクセス モード] セクションで、アクセス モードを選択し、必要なパラメーターを設定します。

      Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーに対して 1 つのアクセス モードのみを選択することをお勧めします。このようにして、個人の RAM ユーザーはプログラムの RAM ユーザーから分離されます。

      • [コンソール アクセス]

        RAM ユーザーが個人を表す場合、RAM ユーザーに対して [コンソール アクセス] を選択することをお勧めします。このようにして、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。[コンソール アクセス] を選択した場合は、次のパラメーターを設定する必要があります。

        • [コンソール パスワードの設定]: [デフォルト パスワードの自動再生成] または [カスタム パスワードのリセット] を選択できます。[カスタム パスワードのリセット] を選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、RAM ユーザーのパスワード ポリシーを設定する をご参照ください。

        • [パスワードのリセット]: 次回のログオン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。

        • [MAF の有効化]: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、MFA デバイスを RAM ユーザーにバインドする をご参照ください。

      • [永続 Accesskey を使用してアクセスする]

        RAM ユーザーがプログラムを表す場合は、RAM ユーザーに対して 永続 AccessKey を使用してアクセス を選択できます。この方法では、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「AccessKey ペアを取得する」をご参照ください。

        重要

        • RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。

        • AccessKey ペアは、アプリケーション アクセスのための永続的な資格情報です。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。資格情報の漏洩リスクを防ぐために、Security Token Service (STS) トークンを使用することをお勧めします。詳細については、アクセス資格情報を使用して API 操作を呼び出すためのベスト プラクティス をご参照ください。

    6. [OK] をクリックします。

    7. プロンプトに従ってセキュリティ検証を完了します。

    手順 4:企業 B が RAM ユーザーに権限を付与する

    企業 B の Alibaba Cloud アカウントを使用して、AliyunSTSAssumeRoleAccess ポリシーを RAM ユーザーにアタッチします。

    1. RAM 管理者として RAM コンソール にログオンします。

    2. 左側のナビゲーション ペインで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、必要な RAM ユーザーを見つけ、権限の追加[アクション] 列の をクリックします。

      image

      複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。

    4. ポリシー[権限の付与] パネルの 選択済みポリシー権限を付与 セクションで、追加するポリシーを検索ボックスに入力し、検索アイコンをクリックして検索します。検索結果でポリシーを選択し、右側の リストに追加します。次に、 をクリックします。

    次の手順

    企業 B の RAM ユーザーは、次の方法を使用して企業 A の ApsaraMQ for Kafka リソースにアクセスできます。

    • ApsaraMQ for Kafka コンソール

      1. ブラウザーで RAM ユーザー ログオン ページ を開きます。

      2. [RAM ユーザー ログオン] ページで、RAM ユーザーの名前を入力し、[次へ] をクリックし、パスワードを入力して、[ログオン] をクリックします。

        説明

        RAM ユーザーの名前は、<$username>@<$AccountAlias> 形式または <$username>@<$AccountAlias>.onaliyun.com 形式です。<$AccountAlias> はアカウント エイリアスを指定します。アカウント エイリアスが指定されていない場合は、Alibaba Cloud アカウントの ID が使用されます。

      3. RAM ユーザー センター ページの右上隅で、ポインターをプロフィール画像の上に移動し、[ID の切り替え] をクリックします。

      4. [ロールの切り替え] ページで、企業 A の企業エイリアスまたはデフォルト ドメイン名と RAM ロールの名前を入力します。次に、[送信] をクリックします。

        説明

        • 企業エイリアスを表示するには、企業 A の Alibaba Cloud アカウントを使用して、料金とコスト コンソールにログオンします。右上隅のプロフィール画像の上にポインターを移動します。企業エイリアスが表示されます。

        • デフォルト ドメイン名を表示するには、企業 A の Alibaba Cloud アカウントを使用して RAM コンソールにログオンします。[設定] ページで、[詳細設定] タブをクリックしてデフォルト ドメイン名を表示します。

    • API 操作

      1. AssumeRole 操作を呼び出して、AccessKey ID、AccessKey シークレット、および Security Token Service (STS) トークンを取得します。詳細については、AssumeRole をご参照ください。

      2. 取得した AccessKey ID、AccessKey シークレット、および STS トークンを使用して特定の API 操作を呼び出し、対応する ApsaraMQ for Kafka リソースにアクセスします。