問題
Alibaba Cloud IDaaS の Enterprise Identity Access Management (EIAM) システムでアカウント同期が有効になっているユーザーを削除すると、対応する RAM ユーザーが同期して削除されません。
考えられる原因
RAM アカウントが特別な状態になっている (多要素認証 (MFA) デバイスにバインドされている、アクセスキーが構成されている、ユーザーグループに属しているなど)。
同期範囲の設定が正しくない。削除されたユーザーの組織が同期範囲の設定と一致していない可能性があります。
パラメータ設定エラーによって同期リクエストが例外を発生させる。
使用上の注意
重要な情報を最初にバックアップする: 削除する前に、RAM アカウントに関連付けられている重要なリソースまたは権限がないことを確認します。
影響を評価する: RAM アカウントを削除すると、そのアカウントと、アカウントが偽装しているロールは強制的にログアウトされ、自動的に回復することはありません。
権限を管理する: 管理者に
AliyunRAMFullAccessなどの十分な権限があることを確認します。
解決策
IDaaS は特別な状態の RAM アカウントの削除を自動的に同期できないため、次の手順を手動で実行します。
ステップ 1: RAM アカウントの特別な状態を削除する
ユーザーグループから削除する:
[Alibaba Cloud RAM コンソール] にログオンします。
左側のナビゲーションバーで、 を選択します。
ターゲット RAM アカウントを見つけ、その名前をクリックして詳細ページに移動します。
ユーザーグループエリアで、すべてのユーザーグループからアカウントを削除します。
MFA デバイスをデタッチする (存在する場合):
RAM コンソールで、ターゲット RAM アカウントの詳細ページに移動します。
エリアで、MFA デバイスをデタッチする。
アクセスキーを削除する (存在する場合):
ターゲット RAM アカウントの詳細ページで、[アクセスキー] 管理エリアに移動します。
構成されているすべてのアクセスキーを削除します。
ステップ 2: RAM アカウントを削除する
RAM コンソールにログオンします。
左側のナビゲーションバーで、 を選択します。
ターゲット RAM アカウントを見つけ、[アクション] 列の [削除] をクリックします。
プロンプトに従って削除を完了します。