すべてのプロダクト
Search

このプロダクト

    CloudSSO:RAM ユーザーのプロビジョニングの作成

    ドキュメントセンター

    CloudSSO:RAM ユーザーのプロビジョニングの作成

    最終更新日:Jan 18, 2025

    リソースディレクトリのメンバーに対して Resource Access Management (RAM) ユーザーのプロビジョニングを作成し、使用する CloudSSO ユーザーと同じユーザー名を持つ RAM ユーザーを作成できます。 これにより、CloudSSO ユーザーは RAM ユーザーとしてメンバーのリソースにアクセスできます。

    背景情報

    このトピックでは、CloudSSO ユーザーが RAM ユーザーとしてリソースディレクトリ内の RD アカウントに属する MaxCompute リソースにアクセスできるように、RAM ユーザーのプロビジョニングを作成する方法の例を示します。 この例では、メンバー Sandbox_Account 内に CloudSSO ユーザー user1 と同じユーザー名を持つ RAM ユーザー user1@xxx.onaliyun.com を作成し、MaxCompute リソースを管理するために RAM ユーザーに AliyunMaxComputeFullAccess ポリシーをアタッチしてから、CloudSSO ユーザー user1 を使用して RAM ユーザーとしてメンバー Sandbox_Account に属する MaxCompute リソースにアクセスする必要があります。

    ステップ 1: RAM ユーザーのプロビジョニングを作成する

    CloudSSO コンソールでリソースディレクトリの管理アカウントを使用して、RAM ユーザーのプロビジョニングを作成します。

    1. CloudSSO コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[複数アカウントの権限構成] をクリックします。

    3. [複数アカウントの権限構成] ページで、リソースディレクトリ内の必要なアカウントを選択し、[RAM ユーザーのプロビジョニングの構成] をクリックします。

      この例では、メンバー Sandbox_Account が選択されています。

      image

    4. [RAM ユーザーのプロビジョニングの構成] パネルで、必要な CloudSSO ユーザーまたは CloudSSO ユーザーグループを選択し、[次へ] をクリックします。

      この例では、CloudSSO ユーザー user1 が選択されています。 CloudSSO ユーザーグループを選択すると、グループ内のすべての CloudSSO ユーザーが同期されます。

      image

    5. 基本情報を構成し、[次へ] をクリックします。

      1. RAM ユーザーのプロビジョニングの説明を入力します。

      2. [処理モード] を構成します。有効な値:

        • [単一処理]: このオプションを選択した場合、複数のメンバーに対して競合ポリシーと削除ポリシーを 1 つずつ構成する必要があります。

        • [一括処理]: このオプションを選択した場合、複数のメンバーに対して競合ポリシーと削除ポリシーを一度に構成できます。

      3. [競合ポリシー][削除ポリシー] を構成します。

        • [競合ポリシー]: 選択したメンバーに CloudSSO ユーザーと同じ名前の RAM ユーザーが既に存在する場合に使用される処理ポリシー。有効な値:

          • [置換]: 新しい RAM ユーザーが既存の RAM ユーザーを上書きします。 RAM ユーザーの権限、基本情報、ID は変更されません。ログイン方法が影響を受けます。同期された RAM ユーザーを使用する場合、CloudSSO を使用してのみ RAM ユーザーにログインできます。 RAM ユーザー名またはパスワードを使用して RAM ユーザーにログインすることはできません。

          • [両方を保持]: システムは新しい RAM ユーザーの名前を変更し、両方の RAM ユーザーを保持します。

        • [削除ポリシー]: RAM ユーザーのプロビジョニングを削除するときに、プロビジョニングされた RAM ユーザーを保持するかどうかを決定するために使用される処理ポリシー。有効な値:

          • [保持]: RAM ユーザーのプロビジョニングを削除すると、システムはプロビジョニングされた RAM ユーザーを保持します。

          • [削除]: RAM ユーザーのプロビジョニングを削除すると、システムはプロビジョニングされた RAM ユーザーを削除します。

    6. [送信] をクリックします。

    7. [完了] をクリックします。

    構成が完了すると、CloudSSO ユーザーと同じユーザー名を持つ RAM ユーザーが、リソースディレクトリ内の選択したメンバー内に作成されます。 この例では、RAM ユーザー user1@xxx.onaliyun.com がメンバー Sandbox_Account 内に作成されます。 RAM ユーザーは CloudSSO ユーザー user1 と同じユーザー名を持ちます。

    image

    ステップ 2: RAM ユーザーに権限を付与する

    メンバー Sandbox_Account にアクセスし、MaxCompute リソースを管理するために RAM ユーザー user1@xxx.onaliyun.com に AliyunMaxComputeFullAccess ポリシーをアタッチできます。

    1. メンバー Sandbox_Account にアクセスする

      詳細については、「メンバーを使用して Alibaba Cloud 管理コンソールにログインする」をご参照ください。

    2. RAM ユーザー user1@xxx.onaliyun.com に権限を付与する。

      この例では、AliyunMaxComputeFullAccess ポリシーが RAM ユーザー user1@xxx.onaliyun.com にアタッチされています。 このポリシーは、MaxCompute リソースに対する管理権限を付与します。 詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

    説明

    便宜上、リソースディレクトリのメンバー内でプロビジョニングされた RAM ユーザーに権限を付与するために、CloudSSO ユーザーを権限管理者として指定することをお勧めします。 たとえば、CloudSSO で AliyunRAMFullAccess ポリシーを含むアクセス構成を作成できます。 次に、管理する複数のメンバーと、アクセス構成をプロビジョニングする権限管理者を選択します。 これにより、権限管理者は、メンバー内でプロビジョニングされた RAM ユーザーに権限を付与できます。 詳細については、「アクセス構成を作成する」および「リソースディレクトリ内のアカウントにアクセス権限を割り当てる」をご参照ください。

    ステップ 3: CloudSSO ユーザーを使用して Alibaba Cloud リソースにアクセスする

    CloudSSO ユーザー user1 は、RAM ユーザー user1@xxx.onaliyun.com としてメンバー Sandbox_Account に属する MaxCompute リソースにアクセスできます。

    1. user1 として CloudSSO ユーザーポータルにログインします。

    2. RAM ユーザー user1@xxx.onaliyun.com としてメンバー Sandbox_Account に属する MaxCompute リソースにアクセスします。

      詳細については、「ステップ 3: リソースディレクトリ内のアカウントのリソースにアクセスする」の [RAM ユーザーベースのログイン] の部分をご参照ください。

      image