Application Real-Time Monitoring Service:RAM ロールを使用して Alibaba Cloud アカウント間でリソースにアクセスする

背景情報

企業 A がビジネスを実行するためにさまざまなクラウド リソースを購入しており、企業 B に代わって一部のビジネスを実行する権限を与える必要がある場合、RAM ロールを使用してこの目的を達成できます。 RAM ロールには、特定のログオン パスワードまたは AccessKey ペアはありません。 RAM ロールは、信頼できるエンティティが RAM ロールをアシュームした後にのみ使用できます。 企業 A のニーズを満たすには、次の手順に従います。

1. 企業 A が RAM ロールを作成する
2. 企業 A が RAM ロールに権限を追加する
3. 企業 B が RAM ユーザーを作成する
4. 企業 B が RAM ユーザーに AliyunSTSAssumeRoleAccess 権限を追加する
5. 企業 B の RAM ユーザーがコンソールまたは API を介して企業 A のリソースにアクセスする

ステップ 1: 企業 A のアカウントで RAM ロールを作成する

企業 A の Alibaba Cloud アカウントを使用して RAM コンソールにログインし、RAM ロールを作成します。

1. 管理者権限を持つ RAM ユーザーとして RAM コンソール にログインします。

2. 左側のナビゲーション ウィンドウで、[ID] > [ロール] を選択します。

3. [ロール] ページで、[ロールの作成] をクリックします。

   

4. [ロールの作成] ページで、[プリンシパルの種類] パラメーターを [クラウドアカウント] に設定し、Alibaba Cloud アカウントを指定して、[OK] をクリックします。

   

   • [現在のアカウント]: Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを担わせる場合は、[現在のアカウント] を選択します。

   • [その他のアカウント]: 別の Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを担わせる場合は、[その他のアカウント] を選択し、Alibaba Cloud アカウントの ID を入力します。このオプションは、異なる Alibaba Cloud アカウントに属するリソースに対する権限を付与するために提供されています。詳細については、「RAM ロールを使用して Alibaba Cloud アカウント間で権限を付与する」をご参照ください。 [Security Settings] ページで Alibaba Cloud アカウントの ID を確認できます。

5. オプション。信頼できる Alibaba Cloud アカウントに属する特定の RAM ユーザーまたは RAM ロールのみが RAM ロールをアシュームできるようにするには、[ポリシー エディターに切り替える] をクリックし、エディターで RAM ロールの信頼ポリシーを変更します。

   エディターは、ビジュアル エディターと JSON モードをサポートしています。次の例では、ID が 100******0719 の Alibaba Cloud アカウント内の RAM ユーザー Alice のみが RAM ロールをアシュームできます。

   • ビジュアル エディター

     [プリンシパル] 要素に RAM ユーザーを指定します。

     

     

   • JSON

     Principal パラメーターの RAM フィールドに RAM ユーザーを指定します。

     {
       "Version": "1",
       "Statement": [
         {
           "Effect": "Allow",
           "Principal": {
             "RAM": "acs:ram::100******0719:user/Alice"
           },
           "Action": "sts:AssumeRole"
         }
       ]
     }

6. [ロールの作成] ダイアログ ボックスで、[ロール名] パラメーターを設定し、[OK] をクリックします。

ステップ 2: 企業 A のアカウントで RAM ロールに権限を付与する

ステップ 1 で作成された RAM ロールには権限がありません。そのため、企業 A は RAM ロールに権限を付与する必要があります。

1. RAM 管理者として RAM コンソール にログインします。

2. 左側のナビゲーション ウィンドウで、[ID] > [ロール] を選択します。

3. [ロール] ページで、管理する RAM ロールを見つけ、[権限の付与][アクション] 列の をクリックします。

   

   複数の RAM ロールを選択し、RAM ロールリストの下部にある [権限の付与] をクリックすると、複数の RAM ロールに一度に権限を付与できます。

4. [権限の付与] パネルで、RAM ロールに権限を付与します。

   1. リソーススコープ パラメーターを構成します。

      • [アカウント]: 権限付与は、現在の Alibaba Cloud アカウントに適用されます。

      • [リソースグループ]: 権限付与は、特定のリソースグループに適用されます。

        説明

        リソーススコープ パラメーターで [リソースグループ] を選択する場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。詳細については、「リソースグループと連携するサービス」をご参照ください。

   2. プリンシパル パラメーターを構成します。

      プリンシパルとは、権限を付与する RAM ロールのことです。現在の RAM ロールが自動的に選択されます。

   3. ポリシー パラメーターを構成します。

      ポリシーとは、アクセス権限のセットです。一度に複数のポリシーを選択できます。

      • システムポリシー: Alibaba Cloud によって作成されたポリシーです。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって管理されます。詳細については、「RAM と連携するサービス」をご参照ください。

        説明

        システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。リスクの高いポリシーをアタッチして、不要な権限を付与しないことをお勧めします。

      • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除ができます。詳細については、「カスタムポリシーを作成する」をご参照ください。

   4. [権限を付与] をクリックします。

5. [閉じる] をクリックします。

ステップ 3: 企業 B のアカウントで RAM ユーザーを作成する

企業 B の Alibaba Cloud アカウントを使用して RAM コンソールにログインし、RAM ユーザーを作成します。

1. 管理者権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して RAM コンソール にログインします。

2. 左側のナビゲーション ウィンドウで、[ID] > [ユーザー] を選択します。

3. [ユーザー] ページで、[ユーザーの作成] をクリックします。

4. [ユーザーアカウント情報] セクションの [ユーザーの作成] ページで、次のパラメーターを構成します。

   • [ログオン名]: ログオン名は最大 64 文字で、文字、数字、ピリオド(.)、ハイフン(-)、およびアンダースコア(_)を含めることができます。

   • [表示名]: 表示名は最大 128 文字です。

   • [タグ]: アイコンをクリックし、タグキーとタグ値を入力します。 1 つ以上のタグを RAM ユーザーに追加できます。 この方法で、タグに基づいて RAM ユーザーを管理できます。

   説明

   [ユーザーを追加] をクリックすると、複数の RAM ユーザーを一度に作成できます。

5. [アクセスモード] セクションで、アクセスモードを選択し、必要なパラメーターを構成します。

   Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーには 1 つのアクセスモードのみを選択することをお勧めします。こうすることで、個人の RAM ユーザーとプログラムの RAM ユーザーを分離できます。

   • コンソールアクセス

     RAM ユーザーが個人を表す場合は、RAM ユーザーにコンソールアクセスを選択することをお勧めします。こうすることで、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択する場合は、次のパラメーターを設定する必要があります。

     • パスワードの設定: デフォルトパスワードの自動再生成 または カスタムパスワードのリセット を選択できます。カスタムパスワードのリセット を選択する場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。

     • パスワードのリセット: 次回のログイン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。

     • 多要素認証 (MFA) の有効化: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。

   • 永続 Accesskey を使用してアクセスする

     RAM ユーザーがプログラムを表す場合は、RAM ユーザーに 永続 AccessKey を使用したアクセスAccessKey ペアを取得する を選択できます。こうすることで、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「」をご参照ください。

     重要

     • RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。

     • AccessKey ペアは、アプリケーションアクセスのための永続的な認証情報です。Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。認証情報の漏洩リスクを防ぐために、セキュリティトークンサービス (STS) トークンを使用することをお勧めします。詳細については、「アクセス認証情報を使用して API 操作を呼び出すためのベストプラクティス」をご参照ください。

6. [OK] をクリックします。

7. プロンプトに従ってセキュリティ検証を完了します。

ステップ 4: 企業 B のアカウントで RAM ユーザーに権限を付与する

企業 B は、AliyunSTSAssumeRoleAccess 権限ポリシーを RAM ユーザーにアタッチして、RAM ユーザーが企業 A によって作成された RAM ロールをアシュームできるようにする必要があります。

1. RAM 管理者として RAM コンソール にログインします。

2. 左側のナビゲーション ウィンドウで、[ID] > [ユーザー] を選択します。

3. [ユーザー] ページで、必要な RAM ユーザーを見つけ、[権限の追加][アクション] 列の をクリックします。

   

   複数の RAM ユーザーを選択し、ページ下部にある [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。

4. [権限の付与] パネルで、RAM ユーザーに権限を付与します。

   1. [リソース範囲] パラメーターを構成します。

      • アカウント: 権限付与は、現在の Alibaba Cloud アカウントに適用されます。

      • リソースグループ: 権限付与は、特定のリソースグループに適用されます。

        重要

        [リソース範囲] パラメーターで [リソースグループ] を選択した場合は、必要なクラウドサービスがリソースグループをサポートしていることを確認してください。 詳細については、「リソースグループと連携するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「リソースグループを使用して RAM ユーザーに特定の ECS インスタンスを管理する権限を付与する」をご参照ください。

   2. プリンシパルパラメーターを構成します。

      プリンシパルとは、権限を付与する RAM ユーザーのことです。 現在の RAM ユーザーが自動的に選択されます。

   3. ポリシーパラメーターを構成します。

      ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。

      • システムポリシー: Alibaba Cloud によって作成されたポリシー。これらのポリシーは使用できますが、変更することはできません。ポリシーのバージョン更新は Alibaba Cloud によって管理されます。詳細については、「RAM と連携するサービス」をご参照ください。

        説明

        システムは、AdministratorAccess や AliyunRAMFullAccess など、リスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことをお勧めします。

      • カスタム ポリシー: ビジネス要件に基づいてカスタム ポリシーを管理および更新できます。カスタム ポリシーを作成、更新、および削除できます。詳細については、「カスタム ポリシーを作成する」をご参照ください。

   4. [権限の付与] をクリックします。

5. [閉じる] をクリックします。

次のステップ

上記の操作が完了すると、企業 B の RAM ユーザーはコンソールにログインするか、API 操作を呼び出して企業 A のクラウド リソースにアクセスできます。企業 A のクラウド リソースにアクセスするには、次の手順を実行します。

コンソールにログインする

1. RAM ユーザーとして Alibaba Cloud 管理コンソール にログインします。

2. 、[RAM ユーザーログオン] ページで、RAM ユーザーのユーザー名を入力し、[次へ] をクリックします。

   

   • ログイン名 1：デフォルトドメイン名。RAM ユーザーのログイン名の形式は <UserName>@<AccountAlias>.onaliyun.com です。例：username@company-alias.onaliyun.com

     説明

     <UserName> は RAM ユーザーのユーザー名を示します。<AccountAlias>.onaliyun.com はデフォルトドメイン名を示します。詳細については、「用語」および「デフォルトドメイン名を表示および変更する」をご参照ください。

   • ログイン名 2：アカウントエイリアス。RAM ユーザーのログイン名の形式は <UserName>@<AccountAlias> です。例：username@company-alias

     説明

     <UserName> は RAM ユーザーのユーザー名を示します。<AccountAlias> はアカウントエイリアスを示します。詳細については、「用語」および「デフォルトドメイン名を表示および変更する」をご参照ください。

   • ログイン名 3：ドメインエイリアス。ドメインエイリアスを設定した場合、このログイン名を使用できます。RAM ユーザーのログイン名の形式は <UserName>@<DomainAlias> です。例：username@example.com

     説明

     <UserName> は RAM ユーザーのユーザー名を示します。<DomainAlias> はドメインエイリアスを示します。詳細については、「用語」および「ドメインエイリアスを作成および検証する」をご参照ください。

3. ログオン パスワードを入力し、[ログイン] をクリックします。

4. オプション。多要素認証 (MFA) が有効になっている場合は、認証を行います。

   詳細については、「多要素認証 (MFA)」および「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。

API 操作を呼び出す

企業 B の RAM ユーザーとして API 操作を呼び出して企業 A のクラウド リソースにアクセスするには、コードで RAM ユーザーの AccessKeyId、AccessKeySecret、および SecurityToken を指定する必要があります。 セキュリティトークンサービス (STS) を使用して一時的なセキュリティトークンを取得する方法の詳細については、「AssumeRole」をご参照ください。