症状
アカウント同期が有効になっている Alibaba Cloud IDaaS (Enterprise Identity Access Management) でユーザーを削除した後、対応する RAM ユーザーが削除されません。
考えられる原因
-
RAM ユーザーが特別な状態にある。たとえば、MFA デバイスがバインドされている、AccessKey が設定されている、またはユーザーグループのメンバーである場合などです。
-
削除されたユーザーの組織が定義された同期範囲外にある場合、IDaaS は削除をトリガーしません。
-
無効なパラメーター構成により、同期リクエストが失敗します。
注意事項
-
重大な関連付けの確認: RAM ユーザーを削除する前に、重大なリソースや権限構成がそのユーザーに関連付けられていないことを確認してください。
-
影響の評価: RAM ユーザーが削除されると、そのユーザーおよび偽装されたロールは強制的にサインアウトされ、回復することはできません。
-
権限管理: これらの操作を実行する管理者が、
AliyunRAMFullAccessポリシーなどの十分な権限を持っていることを確認してください。
ソリューション
IDaaS は、特別な状態にある RAM ユーザーの削除を自動的に同期できません。次の手順を手動で実行する必要があります。
ステップ 1: 特別な状態のクリア
-
ユーザーをユーザーグループから削除:
-
Alibaba Cloud RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、 を選択します。
-
対象の RAM ユーザーを見つけ、ユーザー名をクリックして詳細ページを表示します。
-
ユーザーグループのセクションで、すべてのユーザーグループからユーザーを削除します。
-
-
MFA デバイスのバインド解除 (該当する場合):
-
RAM コンソールで、対象の RAM ユーザーの詳細ページに移動します。
-
タブの [セキュリティ情報管理] セクションで、MFA デバイスをバインド解除します。詳細については、「RAM ユーザーの MFA デバイスをバインド解除する」をご参照ください。
-
-
AccessKey の削除 (存在する場合):
-
[AccessKey 管理] セクションに移動します。
-
設定されているすべての AccessKey を削除します。
-
ステップ 2: RAM ユーザーの手動削除
-
Alibaba Cloud RAM コンソールにログインします。
-
左側のナビゲーションウィンドウで、を選択します。
-
対象の RAM ユーザーを見つけ、[操作] 列の [削除] をクリックします。
-
画面の指示に従って、削除を完了します。