Alibaba Cloudアカウント間のリソースへのアクセスにRAMロールを使用する - Application Real-Time Monitoring Service

企業AのAlibaba Cloudアカウントを使用してRAMロールを作成し、このロールに権限を付与し、このロールを企業Bに割り当てることができます。このようにして、企業BのAlibaba Cloudアカウントまたは企業BのAlibaba Cloudアカウントに属するRAMユーザーは、企業AのAlibaba Cloudリソースにアクセスできます。

背景情報

企業Aがビジネスを実行するためにさまざまなクラウド・リソースを購入しており、企業Bに代わって一部のビジネスを実行する権限を与える必要がある場合は、RAMロールを使用してこの目的を達成できます。RAMロールには、特定のログオンパスワードまたはAccessKeyペアはありません。RAMロールは、信頼できるエンティティがRAMロールを引き受けた後にのみ使用できます。企業Aのニーズを満たすには、次の手順に従います。

企業AがRAMロールを作成する
企業AがRAMロールに権限を追加する
企業BがRAMユーザーを作成する
企業BがRAMユーザーにAliyunSTSAssumeRoleAccess権限を追加する
企業BのRAMユーザーがコンソールまたはAPIを介して企業Aのリソースにアクセスする

Application Real-Time Monitoring Service（ARMS）は、フルアクセス権限または読み取り専用権限を付与するための2つのシステムポリシーを提供します。ビジネス要件に基づいてシステムポリシーを選択できます。

AliyunARMSFullAccess: RAMユーザーにARMSに対するフルアクセス権限を付与します。RAMユーザーは、すべてのサブサービスのインスタンスを表示、編集、または削除できます。
説明
AliyunARMSFullAccessポリシーをRAMユーザーにアタッチした後、AliyunARMSReadOnlyAccessポリシーをRAMユーザーにアタッチする必要はありません。
AliyunARMSReadOnlyAccess: RAMユーザーにARMSに対する読み取り専用権限を付与します。RAMユーザーは、各サブサービスのインスタンス情報を表示できますが、情報を変更または削除することはできません。
重要
特定のリソースグループにすべてのARMS機能に対する読み取り専用権限を付与するには、AliyunARMSReadOnlyAccessポリシーをリソースグループにアタッチし、ReadTraceApp権限をリソースグループに付与する必要があります。そうしないと、ARMSは認証されたリソースグループに属するアプリケーションリストを表示できません。

ステップ1: 企業AのアカウントでRAMロールを作成する

企業AのAlibaba Cloudアカウントを使用してRAMコンソールにログオンし、RAMロールを作成します。

手順

管理権限を持つRAMユーザーとしてRAMコンソールにログオンします。
左側のナビゲーションペインで、ID > ロールを選択します。
ロールページで、ロールの作成をクリックします。
ロールの作成ページのロールタイプの選択セクションでAlibaba Cloudアカウントを選択し、次へをクリックします。
RAMロールのパラメータを設定します。
1. RAMロール名を指定します。
2. 備考を指定します。
3. 信頼できるAlibaba Cloudアカウントの選択セクションで、現在のAlibaba Cloudアカウントまたは他のAlibaba Cloudアカウントを選択します。
  - 現在のalibaba Cloudアカウント: 自分のAlibaba Cloudアカウントに属するRAMユーザーにRAMロールを引き受けてもらう場合は、現在のalibaba Cloudアカウントを選択します。
  - 他のalibaba Cloudアカウント: 別のAlibaba Cloudアカウントに属するRAMユーザーにRAMロールを引き受けてもらう場合は、他のalibaba Cloudアカウントを選択し、Alibaba CloudアカウントのIDを入力します。このオプションは、異なるAlibaba Cloudアカウントに属するリソースに権限を付与するために提供されています。詳細については、RAMロールを使用してAlibaba Cloudアカウント間で権限を付与するをご参照ください。
    Alibaba CloudアカウントのIDは、セキュリティ設定ページで確認できます。
  重要
  Alibaba Cloudアカウントに属するすべてのRAMユーザーではなく、特定のRAMユーザーにRAMロールを引き受けてもらう場合は、次のいずれかの方法を使用できます。
  RAMロールの信頼ポリシーを変更します。詳細については、例1: RAMロールの信頼できるエンティティをAlibaba Cloudアカウントに変更するをご参照ください。
  RAMユーザーにアタッチされているロール引き受けポリシーを変更します。詳細については、RAMユーザーが引き受けることができるRAMロールを指定できますか?をご参照ください。
OKをクリックします。
閉じるをクリックします。

ステップ2: 企業AのアカウントでRAMロールに権限を付与する

ステップ1で作成されたRAMロールには権限がありません。したがって、企業AはRAMロールに権限を付与する必要があります。

RAM管理者としてRAMコンソールにログオンします。
左側のナビゲーションペインで、ID > ロールを選択します。
ロールページで、管理するRAMロールを見つけ、権限の付与アクション列のをクリックします。
複数のRAMロールを選択し、RAMロールリストの下部にある権限の付与をクリックして、複数のRAMロールに一度に権限を付与することもできます。
権限の付与パネルで、RAMロールに権限を付与します。
1. リソーススコープパラメータを設定します。
  - アカウント: 承認は現在のAlibaba Cloudアカウントに有効です。
  - リソースグループ: 承認は特定のリソースグループに有効です。
    説明
    リソーススコープパラメータにリソースグループを選択した場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、リソースグループで動作するサービスをご参照ください。
2. プリンシパルパラメータを設定します。
  プリンシパルは、権限を付与するRAMロールです。現在のRAMロールが自動的に選択されます。
3. ポリシーパラメータを設定します。
  ポリシーはアクセス権限のセットです。一度に複数のポリシーを選択できます。
  - システムポリシー: Alibaba Cloudによって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新はAlibaba Cloudによって管理されます。詳細については、RAMで動作するサービスをご参照ください。
    説明
    システムは、AdministratorAccessやAliyunRAMFullAccessなどの高リスクのシステムポリシーを自動的に識別します。高リスクのポリシーをアタッチすることによって不要な権限を付与しないことをお勧めします。
  - カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、カスタムポリシーを作成するをご参照ください。
4. 権限の付与をクリックします。
閉じるをクリックします。

ステップ3: 企業BのアカウントでRAMユーザーを作成する

企業BのAlibaba Cloudアカウントを使用してRAMコンソールにログオンし、RAMユーザーを作成します。

手順

管理権限を持つAlibaba CloudアカウントまたはRAMユーザーを使用してRAMコンソールにログオンします。
左側のナビゲーションペインで、ID > ユーザーを選択します。
ユーザーページで、ユーザーの作成をクリックします。
ユーザーアカウント情報 セクションの ユーザーの作成 ページで、次のパラメーターを構成します。
- ログオン名: ログオン名は最大64文字で、文字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_)を含めることができます。
- 表示名: 表示名は最大128文字です。
- タグ: アイコンをクリックし、タグキーとタグ値を入力します。RAMユーザーに1つ以上のタグを追加できます。このようにして、タグに基づいてRAMユーザーを管理できます。
説明
ユーザーの追加をクリックして、複数のRAMユーザーを一度に作成できます。
アクセスモードセクションで、アクセスモードを選択し、必要なパラメータを設定します。
Alibaba Cloudアカウントのセキュリティを確保するために、RAMユーザーには1つのアクセスモードのみを選択することをお勧めします。このようにして、個人のRAMユーザーはプログラムのRAMユーザーから分離されます。
- コンソールアクセス
  RAMユーザーが個人を表す場合は、RAMユーザーにコンソールアクセスを選択することをお勧めします。このようにして、RAMユーザーはユーザー名とパスワードを使用してAlibaba Cloudにアクセスできます。コンソールアクセスを選択した場合は、次のパラメータを設定する必要があります。
  - コンソールパスワードの設定: デフォルトパスワードの自動再生成またはカスタムパスワードのリセットを選択できます。カスタムパスワードのリセットを選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、RAMユーザーのパスワードポリシーを設定するをご参照ください。
  - パスワードのリセット: 次回のログオン時にRAMユーザーがパスワードをリセットする必要があるかどうかを指定します。
  - MAFの有効化: RAMユーザーに対して多要素認証(MFA)を有効にするかどうかを指定します。MFAを有効にした後、MFAデバイスをRAMユーザーにバインドする必要があります。詳細については、MFAデバイスをRAMユーザーにバインドするをご参照ください。
- 永続的なaccesskeyを使用してアクセスする
  RAMユーザーがプログラムを表す場合は、RAMユーザーに永続的なAccessKeyを使用してアクセスするを選択できます。このようにして、RAMユーザーはAccessKeyペアを使用してAlibaba Cloudにアクセスできます。OpenAPIアクセスを選択すると、システムはRAMユーザーのAccessKey IDとAccessKeyシークレットを自動的に生成します。詳細については、AccessKeyペアを取得するをご参照ください。
  重要
  RAMユーザーのAccessKeyシークレットは、AccessKeyペアを作成するときにのみ表示されます。後続の操作でAccessKeyシークレットを照会することはできません。したがって、AccessKeyシークレットをバックアップする必要があります。
  AccessKeyペアは、アプリケーションアクセスのための永続的な認証情報です。Alibaba CloudアカウントのAccessKeyペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、Security Token Service(STS)トークンを使用することをお勧めします。詳細については、API操作を呼び出すためのアクセス認証情報の使用に関するベストプラクティスをご参照ください。
OKをクリックします。
プロンプトに従ってセキュリティ検証を完了します。

ステップ4: 企業BのアカウントでRAMユーザーに権限を付与する

企業Bは、AliyunSTSAssumeRoleAccess権限ポリシーをRAMユーザーにアタッチして、RAMユーザーが企業Aによって作成されたRAMロールを引き受けることができるようにする必要があります。

RAM管理者としてRAMコンソールにログオンします。
左側のナビゲーションペインで、ID > ユーザーを選択します。
ユーザーページで、必要なRAMユーザーを見つけ、アクセス許可を追加アクション列のをクリックします。
複数のRAMユーザーを選択し、ページの下部にある権限の追加をクリックして、RAMユーザーに一度に権限を付与することもできます。
権限の付与パネルで、RAMユーザーに権限を付与します。
1. リソーススコープパラメータを設定します。
  - アカウント: 承認は現在のAlibaba Cloudアカウントに有効です。
  - リソースグループ: 承認は特定のリソースグループに有効です。
    重要
    リソーススコープパラメータにリソースグループを選択した場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、リソースグループで動作するサービスをご参照ください。リソースグループに権限を付与する方法の詳細については、リソースグループを使用してRAMユーザーに特定のECSインスタンスを管理する権限を付与するをご参照ください。
2. プリンシパルパラメータを設定します。
  プリンシパルは、権限を付与するRAMユーザーです。現在のRAMユーザーが自動的に選択されます。
3. ポリシーパラメータを設定します。
  ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。
  - システムポリシー: Alibaba Cloud によって作成されたポリシーです。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は、Alibaba Cloud によって管理されます。詳細については、RAM と連携するサービスをご参照ください。
    説明
    システムは、AdministratorAccessやAliyunRAMFullAccessなどの高リスクのシステムポリシーを自動的に識別します。高リスクのポリシーをアタッチすることによって不要な権限を付与しないことをお勧めします。
  - カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、カスタムポリシーを作成するをご参照ください。
4. 権限の付与をクリックします。
閉じるをクリックします。

次のステップ

上記の操作が完了すると、企業BのRAMユーザーはコンソールにログオンするか、API操作を呼び出して企業Aのクラウド・リソースにアクセスできます。企業Aのクラウド・リソースにアクセスするには、次の手順を実行します。

コンソールにログオンする

RAMユーザーとしてAlibaba Cloud管理コンソールにログオンします。
RAMユーザーログオンページで、RAMユーザーのユーザー名を入力し、次へをクリックします。
- ログオン名1: デフォルトドメイン名。RAMユーザーのログオン名の形式は<UserName>@<AccountAlias>.onaliyun.comです（例: username@company-alias.onaliyun.com）。
  説明
  <UserName>はRAMユーザーのユーザー名を示します。<AccountAlias>.onaliyun.comはデフォルトドメイン名を示します。詳細については、用語とデフォルトドメイン名を表示および変更するをご参照ください。
- ログオン名2: アカウントエイリアス。RAMユーザーのログオン名の形式は<UserName>@<AccountAlias>です（例: username@company-alias）。
  説明
  <UserName>はRAMユーザーのユーザー名を示します。<AccountAlias>はアカウントエイリアスを示します。詳細については、用語とデフォルトドメイン名を表示および変更するをご参照ください。
- ログオン名3: ドメインエイリアス。ドメインエイリアスを設定した場合は、このログオン名を使用できます。RAMユーザーのログオン名の形式は<UserName>@<DomainAlias>です（例: username@example.com）。
  説明
  <UserName>はRAMユーザーのユーザー名を示します。<DomainAlias>はドメインエイリアスを示します。詳細については、用語とドメインエイリアスを作成および検証するをご参照ください。
ログオンパスワードを入力し、ログオンをクリックします。
オプション。多要素認証(MFA)が有効になっている場合は、認証を通過します。
詳細については、MFAとMFAデバイスをRAMユーザーにバインドするをご参照ください。

API操作を呼び出す

企業BのRAMユーザーとしてAPI操作を呼び出して企業Aのクラウド・リソースにアクセスするには、コードでRAMユーザーのAccessKeyId、AccessKeySecret、およびSecurityTokenを指定する必要があります。Security Token Service(STS)を使用して一時的なセキュリティトークンを取得する方法の詳細については、AssumeRoleをご参照ください。