リソースディレクトリにおける一元的な権限管理のために、AliyunServiceRoleForCloudSSO サービスリンクロールを作成・確認・削除します。
ユースケース
AliyunServiceRoleForCloudSSO は、CloudSSO に対して RAM ロール、RAM ユーザー、権限ポリシー、およびサービスプロバイダーを管理する権限を付与し、リソースディレクトリの一元的な権限管理を実現します。
AliyunServiceRoleForCloudSSO は、Alibaba Cloud で提供されるサービスリンクロールの一つです。
サービスリンクロールの作成
AliyunServiceRoleForCloudSSO は、以下のシナリオで自動的に作成されます。
-
CloudSSO ディレクトリを作成すると、そのロールがリソースディレクトリの管理アカウントに作成されます。
-
CloudSSO でメンバーアカウント向けに初めてアクセス構成をプロビジョニングすると、そのロールが該当のメンバーアカウントに作成されます。
-
CloudSSO でメンバーアカウント向けに初めて RAM ユーザーのプロビジョニングを設定すると、そのロールが該当のメンバーアカウントに作成されます。
サービスリンクロールの確認
AliyunServiceRoleForCloudSSO が作成された後、RAM コンソールでその基本情報、信頼ポリシー、および権限ポリシー (AliyunServiceRolePolicyForCloudSSO) を確認できます。
-
RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
[ロール]ページで、[AliyunServiceRoleForCloudSSO]をクリックします。
-
ロールの基本情報を確認します。
基本情報 セクションで、RAM ロール名、作成時刻、ARN を確認します。
-
ロールの信頼ポリシーを確認します。
トラスト規則 タブをクリックします。
Serviceフィールドには、このロールを偽装できるクラウドサービスが記載されています(例:"Service": ["cloudsso.aliyuncs.com"])。 -
ロールの権限ポリシー AliyunServiceRolePolicyForCloudSSO を確認します。
-
権限管理 タブをクリックします。
-
権限ポリシー名 AliyunServiceRolePolicyForCloudSSO をクリックします。
-
ポリシードキュメント タブで、権限ポリシーの内容を確認します。
説明サービスリンクロールの権限ポリシーは、RAM コンソールの権限ポリシーリストには表示されません。
-
サービスリンクロールの削除
AliyunServiceRoleForCloudSSO は、以下のシナリオで削除できます。
-
管理アカウントからサービスリンクロールを削除する場合
CloudSSO ディレクトリを削除した後、RAM コンソールで手動で AliyunServiceRoleForCloudSSO を削除してください。RAM ロールの削除。
-
メンバーアカウントからサービスリンクロールを削除する場合
リソースディレクトリからメンバーアカウントを削除すると、そのアカウント内の AliyunServiceRoleForCloudSSO は自動的に削除されます。