このトピックでは、Resource Access Management (RAM) ユーザーのプロビジョニングの原則、および RAM ユーザーのプロビジョニングを使用する手順と制限について説明します。
原則
CloudSSO ユーザーは、RAM ロールベースのログイン方式または RAM ユーザーベースのログイン方式を使用して、リソースディレクトリのアカウントのクラウドリソースにアクセスできます。次の表は、2 つの方式の違いを示しています。このトピックでは、RAM ユーザーベースのログイン方式を使用する手順について説明します。リソースディレクトリのアカウントに RAM ユーザーのプロビジョニングを作成して、CloudSSO ユーザーと同じユーザー名を持つ RAM ユーザーを作成できます。このようにして、CloudSSO ユーザーは RAM ユーザーとしてアカウントのリソースにアクセスできます。
アクセス方法 | 説明 | シナリオ | 参照 |
RAM ユーザーベースログイン | 企業は CloudSSO を使用して、Alibaba Cloud リソースへのアクセスを許可されるユーザーを一元的に管理できます。RAM ユーザーのプロビジョニングを作成すると、CloudSSO ユーザーはリソースディレクトリのアカウント内の RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインできます。このようにして、CloudSSO ユーザーは RAM ユーザーとしてアカウントのリソースにアクセスできます。 | このメソッドは、RAM ロールの引き受けによってアクセスできないクラウドリソースに適しています。 | |
RAM ロールベースログイン | 企業は CloudSSO を使用して、Alibaba Cloud リソースへのアクセスを許可されるユーザーを一元的に管理できます。アクセス構成を作成して割り当てると、CloudSSO ユーザーはシングルサインオン (SSO) ログインメソッドとリソースディレクトリのアカウント内の RAM ロールを使用して Alibaba Cloud 管理コンソールにログインできます。このようにして、CloudSSO ユーザーは RAM ロールとしてアカウントのクラウドリソースにアクセスできます。 | このメソッドは、RAM ロールの引き受けによってアクセスできるクラウドリソースに適しています。 |
手順
CloudSSO コンソールで、リソースディレクトリの管理アカウントを使用して RAM ユーザーのプロビジョニングを作成します。
RAM ユーザーのプロビジョニングを作成すると、リソースディレクトリの選択したメンバー内に、CloudSSO ユーザーと同じユーザー名を持つ RAM ユーザーが作成されます。詳細については、「手順 1:RAM ユーザーのプロビジョニングを作成する」をご参照ください。
管理アカウントを使用してメンバーにアクセスし、作成された RAM ユーザーにメンバーの権限を付与します。
デフォルトでは、RAM ユーザーには権限がありません。リソースにアクセスするには、RAM ユーザーに必要な権限を付与する必要があります。詳細については、「手順 2:RAM ユーザーに権限を付与する」をご参照ください。
CloudSSO ユーザーは、RAM ユーザーとしてリソースディレクトリ内のメンバーに属するリソースにアクセスします。
詳細については、「手順 3:CloudSSO ユーザーを使用して Alibaba Cloud リソースにアクセスする」をご参照ください。
制限
CloudSSO ユーザーとして CloudSSO ユーザーポータルにログインしてから、RAM ユーザーのプロビジョニング機能を使用して作成された RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインする必要があります。RAM ユーザーのユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインすることはできません。
RAM ユーザーのプロビジョニングイベントが存在する場合、プロビジョニングされた RAM ユーザーを削除することはできません。既存のプロビジョニングされた RAM ユーザーは、関連する RAM ユーザーのプロビジョニングイベントを削除した後にのみ削除できます。詳細については、「RAM ユーザーのプロビジョニングを削除する」をご参照ください。