デフォルトでは、Object Storage Service (OSS) リソースの所有者のみがそのリソースにアクセスできます。Resource Access Management (RAM) ロールとロールの引き受け機能を使用して、OSS リソースへのクロスアカウントアクセスを安全に付与できます。この方法は、社内部門間での連携や外部パートナーへのアクセス許可が必要なビジネスシナリオに有効です。
ソリューション概要
たとえば、Alibaba Cloud アカウント B に Alibaba Cloud アカウント A が所有するリソースへのアクセス権限を付与する場合、以下のコアステップに従います。
-
アカウント A は、アカウント B を信頼する RAM ロールを作成し、そのロールに OSS へのアクセス権限を付与します。
-
アカウント B は、RAM ユーザーにロールを引き受ける権限を付与します。その後、そのユーザーはアカウント A の RAM ロールを引き受けて、指定された OSS リソースにアクセスします。
実装手順
ステップ 1:RAM ロールの作成と権限付与
アカウント A は、アカウント B を信頼する RAM ロールを作成し、そのロールに OSS アクセス権限を割り当てる必要があります。構成が完了すると、アカウント B はこのロールを引き受けることで、アカウント A の OSS リソースに安全にアクセスできます。
-
RAM ロールの作成
-
RAM ロール ページに移動し、ロールの作成 をクリックします。
-
Principal Type で アカウント を選択します。Principal Name で 他の Alibaba Cloud アカウント を選択し、Alibaba Cloud アカウント B の ID(例:
170593091407****)を入力します。説明RAM ロールを作成後、デフォルトでアカウント B に属するすべての RAM ユーザーおよび RAM ロールがこのロールを引き受けることができます。特定の RAM ユーザーまたはロールのみにロールの引き受けを許可する場合は、RAM ロールの信頼ポリシーを変更する必要があります。詳細については、「RAM ロールの信頼できるエンティティを Alibaba Cloud アカウントに変更する」をご参照ください。
-
OK をクリックします。ロール名を入力し、OK をクリックしてロールを作成します。
-
-
RAM ロールへの権限付与
以下は、OSS の読み取り専用システムポリシーを使用して権限を付与する手順です。カスタムポリシーを付与する場合は、「カスタムポリシーの付与」をご参照ください。
-
RAM ロール ページに移動します。対象の RAM ロールを見つけ、[操作] 列で 許可を与える をクリックします。
-
AliyunOSSReadOnlyAccessポリシーを検索して選択し、Grant permissions をクリックします。
-
ステップ 2:RAM ロールの引き受けによるクロスアカウントアクセス
アカウント B は、RAM ユーザーを新規作成するか既存のユーザーを使用し、そのユーザーにロールを引き受ける権限を付与する必要があります。権限付与後、RAM ユーザーはアカウント A の RAM ロールを引き受けて OSS リソースにアクセスできます。
ステップ 3:クロスアカウントアクセスの確認
権限の構成が完了したら、アカウント B の RAM ユーザーを使用してアカウント A の OSS リソースにアクセスできます。以下は、コンソールからアクセスを確認する手順です。
-
Alibaba Cloud ログインページ にアクセスし、アカウント B の RAM ユーザーとしてログインします。
-
右上隅でプロフィール画像をクリックし、[アイデンティティの切り替え] をクリックします。Alibaba Cloud アカウント A の情報と RAM ロール名を入力し、[送信] をクリックします。
-
バケット ページに移動し、アカウント A が承認した OSS リソースにアクセスします。