すべてのプロダクト
Search

このプロダクト

    EventBridge:Alibaba Cloudアカウント全体に権限を付与する

    ドキュメントセンター

    EventBridge:Alibaba Cloudアカウント全体に権限を付与する

    最終更新日:Jan 13, 2025

    エンタープライズAのAlibaba Cloudアカウントを使用して、Resource Access Management (RAM) ロールを作成し、このロールに権限を付与してから、このロールをエンタープライズBに割り当てることができます。これにより、エンタープライズBのAlibaba CloudアカウントまたはエンタープライズBのAlibaba Cloudアカウント配下のRAMユーザーは、エンタープライズaのAlibaba Cloudリソースにアクセスできます。

    背景情報

    エンタープライズAは、ビジネスを行うためにEventBridgeサービスを購入し、ビジネスの一部をエンタープライズBに承認したいと考えています。

    エンタープライズAには次の要件があります。

    • 企業Aは、ビジネスシステムに集中し、リソース所有者としてのみ機能したいと考えています。 エンタープライズAは、イベントの発行などのタスクを実行するためにエンタープライズBを委任または承認したいと考えています。
    • エンタープライズBは、従業員がエンタープライズBに参加または離脱するときに権限の変更が不要になることを期待しています。エンタープライズBは、エンタープライズAのリソースに対するきめ細かい権限を、従業員またはアプリケーションを含むエンタープライズBのRAMユーザーに割り当てることができます。
    • エンタープライズAとエンタープライズBの間の契約が終了すると、エンタープライズAはエンタープライズBに付与された権限を取り消すことができます。

    手順

    1. エンタープライズAのAlibaba Cloudアカウントを使用してRAMコンソールにログインし、エンタープライズBのAlibaba CloudアカウントのRAMロールを作成します。
      詳細については、「信頼できるAlibaba CloudアカウントのRAMロールの作成」をご参照ください。
    2. オプション: Enterprise aのAlibaba Cloudアカウントを使用して、新しいRAMロールのカスタムポリシーを作成します。

      詳細については、「カスタムポリシーの作成」をご参照ください。

      EventBridgeはリソースレベルのアクセス許可設定をサポートしています。 詳細については、「ポリシーと例」をご参照ください。

    3. 新しいRAMロールには権限がないため、Enterprise AはRAMロールに権限を付与する必要があります。 企業Aは、システムポリシーまたはカスタムポリシーを追加できます。
      詳細については、「RAMロールへの権限の付与」をご参照ください。
    4. Enterprise BのAlibaba Cloudアカウントを使用してRAMコンソールにログインし、RAMユーザーを作成します。

      詳細については、「Enterprise BのRAMユーザーの作成」をご参照ください。

    5. エンタープライズBは、AliyunSTSAssumeRoleAccess権限をRAMユーザーに割り当てます。

      詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

      エンタープライズBは、Alibaba CloudアカウントのRAMユーザーにAliyunSTSAssumeRoleAccess権限を割り当てる必要があります。これにより、RAMユーザーはエンタープライズAによって作成されたRAMロールを引き受けることができます。

    6. Enterprise BのRAMユーザーは、コンソールで、またはAPI操作を呼び出して、Enterprise Aのリソースにアクセスします。
      詳細については、このトピックの「次に行うこと」セクションを参照してください。

    参考資料

    RAMとは何ですか?

    次のステップ

    上記の操作が完了すると、Enterprise BのRAMユーザーはコンソールにログインして、Enterprise Aのクラウドリソースにアクセスするか、次の手順に基づいてAPI操作を呼び出すことができます。

    • コンソールにログインして、Enterprise Aのクラウドリソースにアクセスします。
      1. ブラウザでRAMユーザーログインポータルを開きます。
      2. [RAMユーザーログイン] ページで、RAMユーザー名を入力し、[次へ] をクリックします。 RAMユーザーのパスワードを入力し、[ログイン] をクリックします。
        説明 RAMユーザー名の形式は、<$username >@<$ AccountAlias> または <$username >@<$ AccountAlia s>.onaliyun.comです。 <$AccountAlias> はアカウントのエイリアスです。 アカウントエイリアスが設定されていない場合、Alibaba CloudアカウントのIDがデフォルトで使用されます。
      3. コンソールのホームページで、右上隅のプロフィール写真の上にポインターを移動し、[ロールの切り替え] をクリックします。
      4. [ロールの切り替え] ページで、[エンタープライズエイリアス /デフォルトドメイン名] をエンタープライズAのに設定し、[ロール名] を設定して、[切り替え] をクリックします。
      5. エンタープライズAのAlibaba Cloudリソースに対する操作を実行します。
    • Enterprise BのRAMユーザーとしてAPI操作を呼び出して、Enterprise Aのクラウドリソースにアクセスします。

      エンタープライズBのRAMユーザーとしてAPI操作を呼び出してエンタープライズAのクラウドリソースにアクセスするには、RAMユーザーのAccessKeyId、AccessKeySecret、および一時的なセキュリティトークンを示すSecurityTokenがコードに含まれていることを確認します。 STSを使用して一時的なセキュリティトークンを取得する方法の詳細については、「AssumeRole」をご参照ください。