このトピックでは、Resource Access Management (RAM) コンソールとSDKを使用してSecurity Token Service (STS) トークンを取得し、Function Computeのリソースを表示する権限をAlibaba Cloudアカウント全体に付与する方法について説明します。
例
- エンタープライズAはビジネスシステムに集中でき、Function Computeの所有者としてのみ機能します。 さらに、エンタープライズAは、サービスや機能の作成など、指定されたリソースの管理をエンタープライズBに許可できます。
- 従業員がエンタープライズBに参加または離脱する場合、エンタープライズAは権限を変更する必要はありません。 エンタープライズBは、RAMユーザーにエンタープライズAのリソースに対するきめ細かい権限を付与できます。
- エンタープライズAとエンタープライズBの間の契約が終了すると、エンタープライズAはエンタープライズBに付与されている権限を取り消すことができます。
RAMコンソールの使用
- アカウントAのIDは
123456789012 ****
で、アカウントのエイリアスはcompany-a
です。 - アカウントBのIDは
134567890123 ****
で、アカウントのエイリアスはcompany-b
です。
ステップ1: アカウントaを使用してRAMロールを作成する
アカウントAを使用してRAMロールを作成し、RAMロールに必要な権限を付与してから、アカウントBにこのロールを引き受けることを許可します。
ステップ2: アカウントBを使用してRAMユーザーを作成する
- アカウントBを使用してRAMユーザーtest-demoを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
- アカウントBを使用して、AliyunSTSAssumeRoleAccessポリシーをRAMユーザーにアタッチします。 次に、RAMユーザーはRAMロールを引き受けることができます。 詳細については、「RAM ユーザーへの権限付与」をご参照ください。
ステップ3: ログインのIDを切り替える
アカウントBに属するRAMユーザーがアカウントA内のリソースにアクセスする必要がある場合、アカウントBを使用してRAMユーザーに必要な権限を付与できます。 アカウントBに属するRAMユーザーは、アカウントA内のRAMロールを引き受けて、アカウントA内のリソースにアクセスします。次の手順を実行できます。
付与された権限を取り消す (オプション)
エンタープライズAとエンタープライズBの間の契約が終了すると、エンタープライズAはアカウントBに付与された権限を取り消すことができます。その後、アカウントBに属するすべてのRAMユーザーはRAMロールの権限を持ちません。 次のステップを実行することができます。
SDKの使用
STSを使用して、Function Computeへの一時的なアクセスを許可できます。 STSは、クラウドコンピューティングユーザーにSTSトークンを提供するwebサービスです。 たとえば、Alibaba CloudアカウントBには、Alibaba CloudアカウントA内のFunction Computeのすべてのサービスを表示する権限が必要です。