すべてのプロダクト
Search
ドキュメントセンター

CloudSSO:CloudSSO の委任管理

最終更新日:Jun 05, 2026

CloudSSO ユーザーを、リソースディレクトリ内の特定のフォルダーにスコープされた権限管理者として指定することで、部門レベルの管理者に権限管理を委任します。

前提条件

操作手順

この例では、Dept-1-Admin という名前の CloudSSO ユーザーを作成し、Dept-1 という名前のフォルダーの権限管理者として指定します。アクセスは、そのフォルダー内のメンバーアカウントに限定されます。

  1. Dept-1-Admin という名前の CloudSSO ユーザーを作成し、ログインパスワードを設定します。

    ユーザーの作成をご参照ください。

  2. Dept-1-Access という名前の許可セットを作成します。

    許可セットの作成をご参照ください。

    インラインポリシーのみを設定します。以下の例では、2 つのレベルの委任権限を示します。

    例 1

    Dept-1-Admin は他の CloudSSO ユーザーを管理 (作成、変更、削除) できませんが、指定されたメンバーアカウントに対してユーザーに権限を割り当てることができます。

    メンバーアカウント、CloudSSO ユーザー、および許可セットへの読み取りアクセスと、RDPath による範囲限定のアクセス割り当てを許可します。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "resourcemanager:GetResourceDirectory",
            "resourcemanager:ListParents",
            "resourcemanager:ListChildrenForParent",
            "resourcemanager:ListAncestors",
            "resourcemanager:ListAccountRecordsForParent",
            "resourcemanager:GetFolder",
            "resourcemanager:GetAccount",
            "resourcemanager:ListAuthorizedFolders",
            "resourcemanager:ListAccounts",
            "resourcemanager:ListAccountsForParent",
            "resourcemanager:ListFoldersForParent"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "ram:ListPolicies",
            "ram:GetPolicyVersion",
            "ram:ListPolicyVersions",
            "ram:GetPolicy"
          ],
          "Resource": "acs:ram:*:system:policy/*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "cloudsso:Get*",
            "cloudsso:List*",
            "cloudsso:CheckRDFeaturePrerequisite"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "cloudsso:CreateAccessAssignment",
            "cloudsso:DeleteAccessAssignments",
            "cloudsso:DeprovisionAccessConfiguration",
            "cloudsso:ProvisionAccessConfiguration",
            "cloudsso:CreateUserProvisioning",
            "cloudsso:DeleteUserProvisioning",
            "cloudsso:GetUserProvisioningRdAccountStatistics",
            "cloudsso:GetUserProvisioning",
            "cloudsso:UpdateUserProvisioning",
            "cloudsso:GetUserProvisioningStatistics",
            "cloudsso:PreCheckForCreateUserProvisioning",
            "cloudsso:DeleteUserProvisioningEvent",
            "cloudsso:GetUserProvisioningEvent",
            "cloudsso:RetryUserProvisioningEvent",
            "cloudsso:GetTask",
            "cloudsso:GetTaskStatus"
          ],
          "Resource": "*",
          "Condition": {
            "StringLike": {
              "acs:RDManageScope": [
                "rd-3G****/r-Wm****/fd-Ca2****Q3Y/*"
              ]
            }
          }
        }
      ]
    }

    例 2

    Dept-1-Admin は他の CloudSSO ユーザーを管理 (作成、変更、削除) でき、指定されたメンバーアカウントに対してユーザーに権限を割り当てることができます。

    メンバーアカウント、CloudSSO ユーザー、および許可セットへの読み取りアクセス、CloudSSO ユーザーを管理するための書き込みアクセス、および RDPath による範囲限定のアクセス割り当てを許可します。ユーザーグループを管理する権限は含まれません。

    {
      "Version": "1",
      "Statement": [
        {
          "Effect": "Allow",
          "Action": [
            "resourcemanager:GetResourceDirectory",
            "resourcemanager:ListParents",
            "resourcemanager:ListChildrenForParent",
            "resourcemanager:ListAncestors",
            "resourcemanager:ListAccountRecordsForParent",
            "resourcemanager:GetFolder",
            "resourcemanager:GetAccount",
            "resourcemanager:ListAuthorizedFolders",
            "resourcemanager:ListAccounts",
            "resourcemanager:ListAccountsForParent",
            "resourcemanager:ListFoldersForParent"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "ram:ListPolicies",
            "ram:GetPolicyVersion",
            "ram:ListPolicyVersions",
            "ram:GetPolicy"
          ],
          "Resource": "acs:ram:*:system:policy/*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "cloudsso:Get*",
            "cloudsso:List*",
            "cloudsso:CheckRDFeaturePrerequisite",
            "cloudsso:CreateUser",
            "cloudsso:UpdateUser",
            "cloudsso:UpdateUserStatus",
            "cloudsso:DeleteUser",
            "cloudsso:ResetUserPassword",
            "cloudsso:DeleteMFADeviceForUser",
            "cloudsso:UpdateUserMFAAuthenticationSettings"
          ],
          "Resource": "*"
        },
        {
          "Effect": "Allow",
          "Action": [
            "cloudsso:CreateAccessAssignment",
            "cloudsso:DeleteAccessAssignments",
            "cloudsso:DeprovisionAccessConfiguration",
            "cloudsso:ProvisionAccessConfiguration",
            "cloudsso:CreateUserProvisioning",
            "cloudsso:DeleteUserProvisioning",
            "cloudsso:GetUserProvisioningRdAccountStatistics",
            "cloudsso:GetUserProvisioning",
            "cloudsso:UpdateUserProvisioning",
            "cloudsso:GetUserProvisioningStatistics",
            "cloudsso:PreCheckForCreateUserProvisioning",
            "cloudsso:DeleteUserProvisioningEvent",
            "cloudsso:GetUserProvisioningEvent",
            "cloudsso:RetryUserProvisioningEvent",
            "cloudsso:GetTask",
            "cloudsso:GetTaskStatus"
          ],
          "Resource": "*",
          "Condition": {
            "StringLike": {
              "acs:RDManageScope": [
                "rd-3G****/r-Wm****/fd-Ca2****Q3Y/*"
              ]
            }
          }
        }
      ]
    }
    重要

    acs:RDManageScope 条件キーを使用して、委任管理者が管理できるフォルダーまたはメンバーアカウントの RDPath を指定します。

    • rd-******/r-*****/fd-*****/*:フォルダー内のすべてのメンバーアカウント。

    • rd-******/r-*****/fd-*****/123******:特定のメンバーアカウント。

    RDPath の値は、フォルダーの基本情報の表示およびメンバーアカウントの情報の表示で確認できます。上記の例では、rd-3G****/r-Wm****/fd-Ca2****Q3YDept-1 フォルダーの RDPath です。ターゲットフォルダーの RDPath に置き換えてください。

  3. 管理アカウントで権限を割り当てます。

    メンバーアカウントへの権限の割り当てをご参照ください。

    [権限の割り当て] ダイアログボックスで、[ユーザーまたはグループの選択] に進み、[Users] タブを選択して、Dept-1-Admin を選択します。

    [許可セットの選択] で、[Dept-1-Access] を選択します。

検証

  1. Dept-1-Admin として CloudSSO ユーザーポータルにログインします。

    CloudSSO ユーザーポータルへのログインと Alibaba Cloud リソースへのアクセスをご参照ください。

    CloudSSO ユーザーポータルで、[RAM ロールでログイン] タブをクリックします。[管理アカウント][Dept-1-Access] 許可セットとともにアクティブな状態でリストされていることを確認します。[Log on] をクリックして、RAM ロールとしてアカウントにアクセスします。

  2. Dept-1 フォルダー内のメンバーアカウントへの権限の割り当てを試行します。

    Dept-1 フォルダー内のメンバーアカウントには権限を割り当てることができるが、他のフォルダー内のアカウントには割り当てることができない場合、委任は成功しています。

    説明

    委任管理者はリソースディレクトリツリー全体を表示できますが、権限を割り当てることができるのは、承認されたフォルダー内のメンバーアカウントのみです。

    [マルチアカウントの権限管理] ページで、[Dept-1-User1] を選択し、[権限の割り当て] をクリックします。