CloudSSO ユーザーを、リソースディレクトリ内の特定のフォルダーにスコープされた権限管理者として指定することで、部門レベルの管理者に権限管理を委任します。
前提条件
-
企業のマルチアカウント構造でリソースディレクトリが有効化されていること。
リソースディレクトリの有効化、フォルダーの作成、メンバーアカウントの作成、および Alibaba Cloud アカウントをリソースディレクトリに招待するをご参照ください。
-
CloudSSO が有効化され、ディレクトリが作成されていること。
CloudSSO の有効化およびディレクトリの作成をご参照ください。
-
CloudSSO 管理者としてログインしていること。
CloudSSO 管理者は、CloudSSO を有効化した管理アカウント、またはそのアカウント内の AliyunCloudSSOFullAccess 権限を持つ RAM ユーザーです。
操作手順
この例では、Dept-1-Admin という名前の CloudSSO ユーザーを作成し、Dept-1 という名前のフォルダーの権限管理者として指定します。アクセスは、そのフォルダー内のメンバーアカウントに限定されます。
-
Dept-1-Adminという名前の CloudSSO ユーザーを作成し、ログインパスワードを設定します。ユーザーの作成をご参照ください。
-
Dept-1-Accessという名前の許可セットを作成します。許可セットの作成をご参照ください。
インラインポリシーのみを設定します。以下の例では、2 つのレベルの委任権限を示します。
例 1
Dept-1-Adminは他の CloudSSO ユーザーを管理 (作成、変更、削除) できませんが、指定されたメンバーアカウントに対してユーザーに権限を割り当てることができます。メンバーアカウント、CloudSSO ユーザー、および許可セットへの読み取りアクセスと、RDPath による範囲限定のアクセス割り当てを許可します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListParents", "resourcemanager:ListChildrenForParent", "resourcemanager:ListAncestors", "resourcemanager:ListAccountRecordsForParent", "resourcemanager:GetFolder", "resourcemanager:GetAccount", "resourcemanager:ListAuthorizedFolders", "resourcemanager:ListAccounts", "resourcemanager:ListAccountsForParent", "resourcemanager:ListFoldersForParent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ram:ListPolicies", "ram:GetPolicyVersion", "ram:ListPolicyVersions", "ram:GetPolicy" ], "Resource": "acs:ram:*:system:policy/*" }, { "Effect": "Allow", "Action": [ "cloudsso:Get*", "cloudsso:List*", "cloudsso:CheckRDFeaturePrerequisite" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudsso:CreateAccessAssignment", "cloudsso:DeleteAccessAssignments", "cloudsso:DeprovisionAccessConfiguration", "cloudsso:ProvisionAccessConfiguration", "cloudsso:CreateUserProvisioning", "cloudsso:DeleteUserProvisioning", "cloudsso:GetUserProvisioningRdAccountStatistics", "cloudsso:GetUserProvisioning", "cloudsso:UpdateUserProvisioning", "cloudsso:GetUserProvisioningStatistics", "cloudsso:PreCheckForCreateUserProvisioning", "cloudsso:DeleteUserProvisioningEvent", "cloudsso:GetUserProvisioningEvent", "cloudsso:RetryUserProvisioningEvent", "cloudsso:GetTask", "cloudsso:GetTaskStatus" ], "Resource": "*", "Condition": { "StringLike": { "acs:RDManageScope": [ "rd-3G****/r-Wm****/fd-Ca2****Q3Y/*" ] } } } ] }例 2
Dept-1-Adminは他の CloudSSO ユーザーを管理 (作成、変更、削除) でき、指定されたメンバーアカウントに対してユーザーに権限を割り当てることができます。メンバーアカウント、CloudSSO ユーザー、および許可セットへの読み取りアクセス、CloudSSO ユーザーを管理するための書き込みアクセス、および RDPath による範囲限定のアクセス割り当てを許可します。ユーザーグループを管理する権限は含まれません。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "resourcemanager:GetResourceDirectory", "resourcemanager:ListParents", "resourcemanager:ListChildrenForParent", "resourcemanager:ListAncestors", "resourcemanager:ListAccountRecordsForParent", "resourcemanager:GetFolder", "resourcemanager:GetAccount", "resourcemanager:ListAuthorizedFolders", "resourcemanager:ListAccounts", "resourcemanager:ListAccountsForParent", "resourcemanager:ListFoldersForParent" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ram:ListPolicies", "ram:GetPolicyVersion", "ram:ListPolicyVersions", "ram:GetPolicy" ], "Resource": "acs:ram:*:system:policy/*" }, { "Effect": "Allow", "Action": [ "cloudsso:Get*", "cloudsso:List*", "cloudsso:CheckRDFeaturePrerequisite", "cloudsso:CreateUser", "cloudsso:UpdateUser", "cloudsso:UpdateUserStatus", "cloudsso:DeleteUser", "cloudsso:ResetUserPassword", "cloudsso:DeleteMFADeviceForUser", "cloudsso:UpdateUserMFAAuthenticationSettings" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudsso:CreateAccessAssignment", "cloudsso:DeleteAccessAssignments", "cloudsso:DeprovisionAccessConfiguration", "cloudsso:ProvisionAccessConfiguration", "cloudsso:CreateUserProvisioning", "cloudsso:DeleteUserProvisioning", "cloudsso:GetUserProvisioningRdAccountStatistics", "cloudsso:GetUserProvisioning", "cloudsso:UpdateUserProvisioning", "cloudsso:GetUserProvisioningStatistics", "cloudsso:PreCheckForCreateUserProvisioning", "cloudsso:DeleteUserProvisioningEvent", "cloudsso:GetUserProvisioningEvent", "cloudsso:RetryUserProvisioningEvent", "cloudsso:GetTask", "cloudsso:GetTaskStatus" ], "Resource": "*", "Condition": { "StringLike": { "acs:RDManageScope": [ "rd-3G****/r-Wm****/fd-Ca2****Q3Y/*" ] } } } ] }重要acs:RDManageScope条件キーを使用して、委任管理者が管理できるフォルダーまたはメンバーアカウントの RDPath を指定します。-
rd-******/r-*****/fd-*****/*:フォルダー内のすべてのメンバーアカウント。 -
rd-******/r-*****/fd-*****/123******:特定のメンバーアカウント。
RDPath の値は、フォルダーの基本情報の表示およびメンバーアカウントの情報の表示で確認できます。上記の例では、
rd-3G****/r-Wm****/fd-Ca2****Q3YはDept-1フォルダーの RDPath です。ターゲットフォルダーの RDPath に置き換えてください。 -
-
管理アカウントで権限を割り当てます。
メンバーアカウントへの権限の割り当てをご参照ください。
[権限の割り当て] ダイアログボックスで、[ユーザーまたはグループの選択] に進み、[Users] タブを選択して、
Dept-1-Adminを選択します。[許可セットの選択] で、[Dept-1-Access] を選択します。
検証
-
Dept-1-Adminとして CloudSSO ユーザーポータルにログインします。CloudSSO ユーザーポータルへのログインと Alibaba Cloud リソースへのアクセスをご参照ください。
CloudSSO ユーザーポータルで、[RAM ロールでログイン] タブをクリックします。[管理アカウント] が [Dept-1-Access] 許可セットとともにアクティブな状態でリストされていることを確認します。[Log on] をクリックして、RAM ロールとしてアカウントにアクセスします。
-
Dept-1フォルダー内のメンバーアカウントへの権限の割り当てを試行します。Dept-1フォルダー内のメンバーアカウントには権限を割り当てることができるが、他のフォルダー内のアカウントには割り当てることができない場合、委任は成功しています。説明委任管理者はリソースディレクトリツリー全体を表示できますが、権限を割り当てることができるのは、承認されたフォルダー内のメンバーアカウントのみです。
[マルチアカウントの権限管理] ページで、[Dept-1-User1] を選択し、[権限の割り当て] をクリックします。