このトピックでは、CloudSSO のサービスロール AliyunServiceRoleForCloudSSO を作成し、ロールの詳細を表示し、ロールを削除する方法について説明します。
シナリオ
サービスロール AliyunServiceRoleForCloudSSO には、Resource Access Management (RAM) ロール、RAM ユーザー、ポリシー、およびサービスプロバイダー (SP) を管理するための権限があります。 このロールを使用すると、CloudSSO を使用してリソースディレクトリの権限を一元的に構成できます。
サービスロールの詳細については、「サービスロール」をご参照ください。
サービスロールを作成する
サービスロール AliyunServiceRoleForCloudSSO は、以下のシナリオで自動的に作成されます。
CloudSSO ディレクトリを作成すると、サービスロールはリソースディレクトリの管理アカウント内に自動的に作成されます。
CloudSSO でリソースディレクトリのメンバーのアクセス構成を初めてプロビジョニングすると、サービスロールはメンバー内に自動的に作成されます。
CloudSSO でリソースディレクトリのメンバーの RAM ユーザーのプロビジョニングを初めて構成すると、サービスロールはメンバー内に自動的に作成されます。
サービスロールの詳細を表示する
サービスロール AliyunServiceRoleForCloudSSO が作成された後、RAM コンソールでロールの詳細を表示できます。 詳細には、ロールに関する基本情報、ロールの信頼ポリシー、およびロールにアタッチされている権限ポリシー AliyunServiceRolePolicyForCloudSSO が含まれます。
RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[aliyunserviceroleforcloudsso] をクリックします。
ロールに関する基本情報を表示します。
ロールの詳細ページの [基本情報] セクションで、ロール名、作成日時、ARN などの情報を表示します。
ロールの信頼ポリシーを表示します。
ロールの詳細ページで、[信頼ポリシーの管理] タブをクリックし、
Serviceフィールドでロールを引き受けることができるクラウドサービスを表示します。 例:"Service": ["cloudsso.aliyuncs.com"]。ロールにアタッチされている権限ポリシー AliyunServiceRolePolicyForCloudSSO を表示します。
ロールの詳細ページで、[権限] タブをクリックします。
ポリシー [aliyunservicerolepolicyforcloudsso] をクリックします。
表示されるページの [ポリシードキュメント] タブで、権限ポリシーの詳細を表示します。
説明RAM コンソールの [ポリシー] ページで、サービスロールにアタッチされている権限ポリシーを直接表示することはできません。
サービスロールを削除する
ビジネス要件に基づいて、サービスロール AliyunServiceRoleForCloudSSO を削除できます。
リソースディレクトリの管理アカウント内に作成されたサービスロールを削除する
CloudSSO ディレクトリを削除した後、RAM コンソールでサービスロール AliyunServiceRoleForCloudSSO を手動で削除できます。 詳細については、「RAM ロールの削除」をご参照ください。
リソースディレクトリのメンバー内に作成されたサービスロールを削除する
メンバーがリソースディレクトリから削除されると、メンバー内に作成されたサービスロール AliyunServiceRoleForCloudSSO は自動的に削除されます。