すべてのプロダクト
Search

このプロダクト

    OpenAPI Explorer:クロスアカウント API エラー診断の権限

    ドキュメントセンター

    OpenAPI Explorer:クロスアカウント API エラー診断の権限

    最終更新日:Jun 18, 2026

    他の Alibaba Cloud アカウントに対する権限がない場合、API エラー診断ツールを使用して API エラーを分析したり、解決策を見つけたりすることはできません。この問題を解決するには、クロスアカウント権限を付与してください。

    Alibaba Cloud アカウント内

    RAM ユーザーに権限を付与して、同じアカウント内の他の RAM ユーザーおよび RAM ロールの API 診断情報を表示できるようにします。

    ステップ 1: カスタムポリシーの作成

    1. Alibaba Cloud アカウントまたは RAM 管理権限を持つ RAM ユーザーで、 にログオンします。

    2. 左側のナビゲーションペインで、[権限] を選択し、次に [ポリシー] をクリックします。

    3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

    4. [ポリシーの作成] ページで、[JSON] タブをクリックします。

      エディタには、Version"1" であり、単一のオブジェクトを含む Statement 配列が設定された、デフォルトのポリシーテンプレートが表示されます。このオブジェクトの Effect"Allow" で、ActionResourceCondition 要素は空です。

    5. エディターのコンテンツを次のポリシーに置き換え、[OK] をクリックします。

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "openapiexplorer:GetRequestLog",
                "ram:DecodeDiagnosticMessage"
            ],
            "Resource": "*"
        }
    ]
}
      説明

      このポリシーにより、ユーザーは Alibaba Cloud アカウント内のすべての API 呼び出しログと権限不足に関する詳細情報を表示できます。

    6. [ポリシー名][説明]を入力し、[OK]をクリックします。

    ステップ 2: RAM ユーザーへの権限付与

    次のいずれかの方法で、RAM ユーザーに権限を付与します。

    ステップ 3: API 診断結果の表示

    に移動し、RequestId を入力して、[診断] をクリックします。

    診断結果には、クラウドサービスが ECS で、ErrorCode が Forbidden.RAM であり、ErrorMessage が RAM ユーザーに指定されたリソースを操作する権限がないことを示しています。診断の詳細では、呼び出し元が ecs:ModifyInstanceAttribute アクションを試行した RAM ユーザーであり、判定が 権限不足 であることが示されています。推奨される解決策は、管理者に連絡して、AliyunECSFullAccessAliyunECSReadOnlyAccess などの関連システムポリシーを付与してもらうか、カスタムポリシーを作成してもらうことです。

    異なる Alibaba Cloud アカウント間

    別の Alibaba Cloud アカウントの API 診断情報を表示するには、必要な権限が付与されたロールを引き受けます。

    image

    アカウント A:API エラーが発生したアカウント。

    アカウント B:API 診断情報を表示する必要があるアカウント。

    1. アカウント A が RAM ロールを作成し、アカウント B にそのロールを引き受ける権限を付与します。

    2. アカウント B が RAM ユーザーを作成し、ロールを引き受ける権限を付与します。

    3. アカウント B の RAM ユーザーがアカウント A の RAM ロールを引き受けて、クロスアカウント API 診断情報を照会します。

    ステップ 1: アカウント A での RAM ロールの設定

    1. RAM ロールを作成します。

      アカウント A を使用して RAM コンソールにログオンします。[プリンシパルタイプ][クラウドアカウント] に設定して RAM ロールを作成します。詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。

      説明

      「ロールの作成」ページで、[プリンシパル名] には [他のアカウント] を選択し、アカウント B の UID を入力します。

    2. カスタムポリシーを作成します。

      手順については、前のセクションにある「ステップ 1: カスタムポリシーの作成」をご参照ください。

    3. RAM ロールに権限を付与します。

      前のステップで作成したカスタムポリシーを RAM ロールにアタッチします。詳細については、「RAM ロールの権限管理」をご参照ください。

    ステップ 2: アカウント B での RAM ユーザーの設定

    1. RAM ユーザーを作成します。

      アカウント B で RAM コンソール にログオンし、RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

      説明

      セキュリティのため、ニーズに応じて RAM ユーザーに 1 つのアクセスモードのみを設定することを推奨します。コンソールアクセスとプログラムによるアクセスは分離してください。

      この例では、[ログオン名]GetApiLogUser に、[表示名] を「別の Alibaba Cloud アカウントの API 呼び出しログを照会する」に設定し、[アクセスモード] では [コンソールアクセス][プログラムによるアクセス] の両方を選択します。

    2. RAM ユーザーに権限を付与します。

      RAM ユーザーがロールを引き受けられるようにするには、そのユーザーに AliyunSTSAssumeRoleAccess ポリシーをアタッチします。このポリシーにより、ユーザーは任意の RAM ロールを引き受けることができます。詳細については、「RAM ユーザー権限の管理」をご参照ください。

      説明

      RAM ユーザーが特定の RAM ロールのみを引き受けられるようにする場合は、「RAM ロールと STS Token に関する FAQ」をご参照ください。

    ステップ 3: ロールの引き受けと診断情報の表示

    1. アカウント B の RAM ユーザーで、RAM ユーザーログオンページ にログオンします。

    2. 右上隅にあるプロフィール画像にマウスカーソルを合わせ、[ID の切り替え] をクリックします。

    3. [ロールの切り替え] ページで、アカウント A の UID と RAM ロール名を入力し、[送信] をクリックします。

    4. API 診断情報を表示します。

      に移動し、RequestId を入力して、[診断] をクリックします。

      診断結果には、クラウドサービスが ECS で、ErrorCode が Forbidden.RAM、ErrorMessage が User not authorized to operate on the specified resource, or this API doesn't support RAM. であることが示されています。診断の詳細では、リソースグループレベルのアイデンティティベースのポリシーによってアクセスが拒否されたことが示されています。また、呼び出し元が GetApiLogRole ロールでログインした RAM ユーザーであること、および ecs:ModifyInstanceAttribute アクションを試行したことも示されています。