このトピックでは、Resource Access Management (RAM) ユーザーのプロビジョニングの原則、および RAM ユーザーのプロビジョニングを使用する手順と制限について説明します。
原則
CloudSSO ユーザーは、RAM ロールベースのログイン方式または RAM ユーザーベースのログイン方式を使用して、リソースディレクトリのアカウントのクラウドリソースにアクセスできます。次の表は、2 つの方式の違いを示しています。このトピックでは、RAM ユーザーベースのログイン方式を使用する手順について説明します。リソースディレクトリのアカウントに RAM ユーザーのプロビジョニングを作成して、CloudSSO ユーザーと同じユーザー名を持つ RAM ユーザーを作成できます。このようにして、CloudSSO ユーザーは RAM ユーザーとしてアカウントのリソースにアクセスできます。
アクセス方法 | 説明 | シナリオ | 参照 |
RAM ユーザーベースログイン | 企業は CloudSSO を使用して、Alibaba Cloud リソースへのアクセスを許可されるユーザーを一元的に管理できます。RAM ユーザーのプロビジョニングを作成すると、CloudSSO ユーザーはリソースディレクトリのアカウント内の RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインできます。このようにして、CloudSSO ユーザーは RAM ユーザーとしてアカウントのリソースにアクセスできます。 | このメソッドは、RAM ロールの引き受けによってアクセスできないクラウドリソースに適しています。 | |
RAM ロールベースログイン | 企業は CloudSSO を使用して、Alibaba Cloud リソースへのアクセスを許可されるユーザーを一元的に管理できます。アクセス構成を作成して割り当てると、CloudSSO ユーザーはシングルサインオン (SSO) ログインメソッドとリソースディレクトリのアカウント内の RAM ロールを使用して Alibaba Cloud 管理コンソールにログインできます。このようにして、CloudSSO ユーザーは RAM ロールとしてアカウントのクラウドリソースにアクセスできます。 | このメソッドは、RAM ロールの引き受けによってアクセスできるクラウドリソースに適しています。 |
手順
CloudSSO コンソールで、リソースディレクトリの管理アカウントを使用して RAM ユーザーのプロビジョニングを作成します。
RAM ユーザーのプロビジョニングを作成すると、リソースディレクトリの選択したメンバー内に、CloudSSO ユーザーと同じユーザー名を持つ RAM ユーザーが作成されます。詳細については、「手順 1:RAM ユーザーのプロビジョニングを作成する」をご参照ください。
管理アカウントを使用してメンバーにアクセスし、作成された RAM ユーザーにメンバーの権限を付与します。
デフォルトでは、RAM ユーザーには権限がありません。リソースにアクセスするには、RAM ユーザーに必要な権限を付与する必要があります。詳細については、「手順 2:RAM ユーザーに権限を付与する」をご参照ください。
CloudSSO ユーザーは、RAM ユーザーとしてリソースディレクトリ内のメンバーに属するリソースにアクセスします。
詳細については、「手順 3:CloudSSO ユーザーを使用して Alibaba Cloud リソースにアクセスする」をご参照ください。
制限
まず CloudSSO ユーザーとして CloudSSO ユーザーポータルにログインし、次に RAM ユーザープロビジョニング機能で作成された RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインする必要があります。 RAM ユーザーのユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインすることはできません。
RAM ユーザーのプロビジョニングイベントが存在する場合、プロビジョニングされた RAM ユーザーを削除することはできません。既存のプロビジョニングされた RAM ユーザーは、関連する RAM ユーザーのプロビジョニングイベントを削除した後にのみ削除できます。詳細については、「RAM ユーザーのプロビジョニングを削除する」をご参照ください。