ほとんどの場合、Alibaba Cloud サービスの企業ユーザーは、ユーザー名とパスワードを使用して Alibaba Cloud 管理コンソールにログインし、クラウド リソースを管理および使用します。しかし、企業 セキュリティの規制要件がますます厳しくなるにつれて、一部の企業はロールベースのシングルサインオン (SSO) を使用して Alibaba Cloud 管理コンソールにログインすることを好みます。このトピックでは、ロールベースの SSO を使用して新しいバージョンの MaxCompute コンソールにログインする場合に、ポリシーを設定し、RAM ロールにポリシーをアタッチする方法について説明します。
背景情報
Alibaba Cloud と企業の ID 管理システムが連携してロールベースの SSO を実行する場合、Alibaba Cloud はサービス プロバイダー (SP) であり、ID 管理システムは ID プロバイダー (IdP) です。ロールベースの SSO を使用すると、企業は IdP と Alibaba Cloud の間で従業員情報を同期することなく、オンプレミスの IdP で従業員情報を管理できます。企業の従業員は、特定の RAM ロールを使用して Alibaba Cloud サービスにアクセスできます。詳細については、「概要」をご参照ください。
手順
RAM ロールを作成します。
RAM ユーザーを使用して RAM ロールを引き受けます。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。
IdP を使用して RAM ロールを引き受けます。詳細については、「信頼できる IdP の RAM ロールを作成する」をご参照ください。
RAM ロールにポリシーをアタッチします。
Alibaba Cloud アカウントを使用して、RAM コンソール にログインします。
左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
[ロール] ページで、必要な RAM ロールを見つけ、ロールの名前をクリックします。
ロールの詳細ページで、[信頼ポリシー] タブをクリックします。次に、[信頼ポリシーの編集] をクリックしてポリシーを変更します。
ポリシーを変更した後、[OK] をクリックします。次のサンプル コードは、信頼ポリシー ドキュメントを示しています。
RAM ユーザーを使用して RAM ロールを引き受けます。
RAM ユーザーを使用して RAM ロールを引き受けるには、次のポリシー ドキュメントを使用します。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::UID:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }説明上記のポリシー ドキュメントの UID を Alibaba Cloud アカウントのユーザー ID に置き換えます。
IdP を使用して RAM ロールを引き受けるには、次のポリシー ドキュメントを使用します。
{ "Statement": [ { "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } }, "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::UID:saml-provider/IDP" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }説明上記のポリシー ドキュメントで、UID を Alibaba Cloud アカウントのユーザー ID に置き換え、IDP を IdP の名前に置き換えます。
RAM ロールの信頼ポリシーの詳細については、「RAM ロールの信頼ポリシーを編集する」をご参照ください。