すべてのプロダクト
Search
ドキュメントセンター

DataWorks:RAM ロールを使用した DataWorks へのログイン (上級)

最終更新日:Jun 21, 2026

DataWorks では、RAM ユーザーが RAM ロールを引き受けてログインし、開発タスクを実行できます。このトピックでは、ロールベースの SSO を使用して DataWorks にログインし、使用する方法について説明します。

背景情報

DataWorks には、次のいずれかの方法でログインできます。

  • Alibaba Cloud アカウントを使用したログイン

    Alibaba Cloud アカウントまたは RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインし、DataWorks にアクセスできます。このアカウントは、必要な権限を持つワークスペースメンバーになります。

  • ロールを使用したログイン

    企業のセキュリティとコンプライアンスの要件が厳格化するにつれて、ロールベースの SSO を使用して DataWorks にログインし、利用することを推奨する組織が増えています。この方法では、RAM ロールが DataWorks ワークスペースのメンバーとして追加されます。このロールを引き受けるユーザーは、Alibaba Cloud アカウントのメンバーと同様の権限を持ちます。ロールの詳細については、「RAM ロール概要」および「SAML ベースのロール SSO の概要」をご参照ください。

注意事項

  • DataWorks では、RAM ロールを使用した操作をサポートしているのは、[MaxCompute] および [Hologres] データソースのみです。

  • RAM ユーザーまたはロールで以下の認可操作を実行するには、RAM ユーザーまたはロールに AliyunRAMFullAccess ポリシーをアタッチする必要があります。権限の付与方法の詳細については、「RAM ユーザーへの権限付与」をご参照ください。

ステップ 1: RAM ロールの作成

  1. RAM コンソールにログインします。

  2. 左側のナビゲーションペインで、アイデンティティ > ロール の順に選択します。

  3. ロールを作成します。

    Role ページで、[ロールの作成] をクリックします。

    • Alibaba Cloud 管理コンソールで ID を切り替えてロールを引き受けるには、ロールタイプとして Alibaba Cloudアカウント を選択します。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールの作成」をご参照ください。

    • ID プロバイダー (IdP) のアカウントを使用して Alibaba Cloud にログインすることでロールを引き受けるには、ロールタイプとして [ID プロバイダー] を選択します。詳細については、「信頼できる IdP の RAM ロールの作成」をご参照ください。

ステップ 2:信頼ポリシーの設定

[アイデンティティ] > Role ページで、ロールの名前をクリックします。[信頼ポリシー] タブで、RAM ロールの信頼ポリシーを定義します。このポリシーでは、対象のユーザー (RAM ユーザーまたは IdP ユーザー) と DataWorks サービスの両方がロールを引き受けることを許可する必要があります。シナリオに一致する以下のポリシーを選択してください。

説明

以下のポリシーで、UID をお使いの Alibaba Cloud アカウントの UID に、IDP をお使いの ID プロバイダー (IdP) の名前に置き換えてください。

シナリオ 1:RAM ユーザーがロールを引き受ける場合

RAM ユーザーが RAM ロールを引き受けて DataWorks にアクセスできるようにするには、RAM ロールの信頼ポリシーを次のように変更します。

説明

以下のポリシーにより、指定された RAM ユーザーと DataWorks サービスの 2 つのプリンシパルは、ロールを引き受けるための一時的なセキュリティ認証情報を取得できます。AssumeRole の詳細については、「AssumeRole - RAM ロールの一時的なセキュリティ認証情報を取得」をご参照ください。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::UID:root"
                ]
            }
        },
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dataworks.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

シナリオ 2:IdP ユーザーがロールを引き受ける場合

IdP のユーザーが RAM ロールを引き受けて DataWorks にアクセスできるようにするには、RAM ロールの信頼ポリシーを次のように変更します。

{
   "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "saml:recipient": "https://signin.aliyun.com/saml-role/sso"
                }
            },
            "Effect": "Allow",
            "Principal": {
                "Federated": [
                    "acs:ram::UID:saml-provider/IDP"
                ]
            }
        },
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "dataworks.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

ステップ 3:AliyunSTSAssumeRoleAccess ポリシーのアタッチ

IdP のユーザーの代わりに RAM ユーザーを使用して RAM ロールを引き受ける場合は、AliyunSTSAssumeRoleAccess ポリシーを RAM ユーザーにアタッチします。このポリシーにより、ユーザーは Security Token Service (STS) の AssumeRole API を呼び出して、ロールの一時的なセキュリティ認証情報を取得できます。ポリシーのアタッチ方法の詳細については、「RAM ユーザーへの権限付与」をご参照ください。

説明

IdP のユーザーを使用して RAM ロールを引き受ける場合は、このステップをスキップしてください。

ステップ 4:RAM ロールとしてログイン

このセクションでは、RAM ユーザーが RAM ロールを引き受けて DataWorks にログインし、使用する方法について説明します。ロールベースの SSO の詳細については、「SAML ベースのロール SSO の概要」をご参照ください。

  1. RAM ユーザーとして DataWorks コンソール にログインします。

  2. ID を切り替えます。

    DataWorks コンソールに入ったら、右上のプロフィール画像にカーソルを合わせ、[ID の切り替え] をクリックして RAM ロールを使用してログインします。

次のステップ

ワークスペースを作成したら、次の操作を実行できます。

  • データ開発のために RAM ロールを DataWorks ワークスペースに追加する

    ワークスペース管理者は、RAM ロールをワークスペースメンバーとして追加できます。詳細については、「ワークスペースメンバーの追加とロールおよび権限の管理」をご参照ください。

  • MaxCompute で RAM ロールを本番スケジューリング ID として使用する

    MaxCompute コンピュートエンジンをバインドする際に、この RAM ロールを本番スケジューリング ID として設定します。このロールをスケジューリング ID として設定した後は、他の目的で使用しないでください。また、すべてのタスクが専用スケジューリングリソースグループを使用して実行されるようにする必要があります。