すべてのプロダクト
Search

このプロダクト

    OpenAPI Explorer:クロスアカウント API エラー診断の権限付与

    ドキュメントセンター

    OpenAPI Explorer:クロスアカウント API エラー診断の権限付与

    最終更新日:Jan 20, 2026

    エラー診断ツールを使用する際、他のアカウントの API 診断情報をクエリする権限がない場合があります。これにより、API エラーの分析やソリューションの発見が妨げられる可能性があります。この Topic では、他のアカウントの API 診断情報をクエリする権限を付与する方法について説明します。

    同一 Alibaba Cloud アカウント内

    API 診断情報を表示する必要がある Resource Access Management (RAM) ユーザーに必要な権限を付与できます。これにより、RAM ユーザーは他の RAM ユーザーまたは RAM ロールの API 診断情報を表示できるようになります。

    ステップ 1: カスタムポリシーの作成

    1. Alibaba Cloud アカウントまたは RAM 管理者アカウントを使用して、にログインします。

    2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

    3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

      image

    4. [ポリシーの作成] ページで、[JSON] タブをクリックします。

      image

    5. エディターで、既存のコンテンツを次のポリシードキュメントに置き換え、[OK] をクリックします。

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "openapiexplorer:GetRequestLog",
                "ram:DecodeDiagnosticMessage"
            ],
            "Resource": "*"
        }
    ]
}
      説明

      このポリシーにより、ユーザーは Alibaba Cloud アカウントのすべての API 呼び出しログと権限拒否エラーの詳細を表示できます。

    6. ポリシーの名前と説明を入力し、[OK] をクリックします。

    ステップ 2: RAM ユーザーへの権限付与

    次のいずれかの方法で RAM ユーザーに権限を付与できます。

    ステップ 3: API 診断結果の表示

    ページに移動し、RequestId を入力して、[診断] をクリックします。

    image

    異なる Alibaba Cloud アカウント間

    別の Alibaba Cloud アカウントの API 診断情報を表示するには、ロールを偽装して必要な権限を取得できます。

    プロセスは次のとおりです。

    image

    アカウント A: API 呼び出し時にエラーが発生したアカウント。

    アカウント B: API 診断情報を表示する必要があるアカウント。

    1. アカウント A で、アカウント B を信頼する RAM ロールを作成し、アカウント B にこのロールを偽装する権限を付与します。

    2. アカウント B で、RAM ユーザーを作成し、アカウント A のロールを偽装することを許可するポリシーをアタッチします。

    3. アカウント B の RAM ユーザーがアカウント A のロールを偽装し、エラー診断ツールを使用して API 診断情報をクエリします。

    ステップ 1: アカウント A での RAM ロールの作成と権限の付与

    1. RAM ロールの作成

      アカウント A で RAM コンソールにログインします。RAM ロールを作成し、[プリンシパルタイプ][クラウドアカウント] に設定します。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。

      説明

      [その他のアカウント][プリンシパル名] に選択し、アカウント B の UID を入力します。

      image

    2. カスタムポリシーの作成

      詳細については、「ステップ 1: カスタムポリシーの作成」をご参照ください。

    3. RAM ロールへの権限付与

      作成したカスタムポリシーを RAM ロールにアタッチします。詳細については、「RAM ロールへの権限付与」をご参照ください。

    ステップ 2: アカウント B での RAM ユーザーの作成と権限の付与

    1. RAM ユーザーの作成

      アカウント B で RAM コンソールにログインし、RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

      説明

      セキュリティのため、必要に応じて RAM ユーザーに 1 つのアクセスモードのみを設定してください。コンソールアクセスとプログラムによるアクセスは分けて管理します。

      image

    2. RAM ユーザーへの権限付与

      RAM ユーザーにロールの偽装を許可するには、AliyunSTSAssumeRoleAccess ポリシーを RAM ユーザーにアタッチします。このポリシーは、任意のロールを偽装する権限を付与します。詳細については、「RAM ユーザーへの権限付与」をご参照ください。

      説明

      RAM ユーザーに特定の RAM ロールのみを偽装させたい場合は、「RAM ロールと STS トークンに関するよくある質問」をご参照ください。

    ステップ 3: RAM ロールの偽装と API 診断情報の表示

    1. アカウント B で作成した RAM ユーザーを使用して、RAM ユーザーログインページにログインします。

    2. 右上のプロフィール写真にカーソルを合わせ、[ID の切り替え] をクリックします。image

    3. [ロールの切り替え] ページで、対象アカウントの UID と RAM ロール名を入力し、[送信] をクリックしてログインします。例えば、アカウント A の UID と RAM ロール名を入力します。image

    4. API 診断情報の表示

      ページに移動し、RequestId を入力して、[診断] をクリックします。

      image