すべてのプロダクト
Search

このプロダクト

    Object Storage Service:チュートリアル: 別の Alibaba Cloud アカウントの RAM ユーザーに RAM ロールを作成して承認する

    ドキュメントセンター

    Object Storage Service:チュートリアル: 別の Alibaba Cloud アカウントの RAM ユーザーに RAM ロールを作成して承認する

    最終更新日:Jul 15, 2025

    デフォルトでは、Object Storage Service (OSS) リソースには、所有者のみがアクセスできます。別のユーザーに OSS リソースへのアクセスを承認するには、Resource Access Management (RAM) ロールを作成して、そのユーザーに権限を付与します。

    背景情報

    例: 企業 A は、企業 B に企業 A の OSS リソースへのアクセスを承認したいと考えています。ただし、企業 A は、企業 B に RAM ユーザーの認証情報を提供したくありません。この場合、企業 A は RAM ロールを作成し、企業 A の OSS リソースにアクセスするための権限を RAM ロールに付与できます。企業 B は、RAM ユーザーを使用して RAM ロールを引き受けることができます。このようにして、企業 B は企業 A の OSS リソースにアクセスできます。

    ステップ 1: 企業 A が RAM ロールを作成し、企業 A の OSS リソースにアクセスするための権限を RAM ロールに付与する

    企業 A は、企業 A の OSS リソースにアクセスするための権限を持つ RAM ロールを作成する必要があります。

    1. RAM ロールを作成します。

      1. 企業 A として RAM コンソール にログインします。

      2. 左側のナビゲーションウィンドウで、アイデンティティ > ロール を選択します。

      3. ロール ページで、ロールの作成 をクリックします。

      4. ロールの作成 ページで、プリンシパルタイプに [クラウドアカウント]、プリンシパル名に [その他のアカウント] を選択し、企業 B の Alibaba Cloud アカウント ID を指定して、[OK] をクリックします。この例では、企業 B の Alibaba Cloud アカウント ID は 17464958576****** に設定されています。

      5. [ロールの作成] ダイアログボックスで、ロール名を指定し、[OK] をクリックします。この例では、ロール名は admin-oss に設定されています。

        説明

        RAM ロールの作成後、デフォルトでは、信頼されている Alibaba Cloud アカウント (企業 B の Alibaba Cloud アカウント) のすべての RAM ユーザーと RAM ロールが RAM ロールを引き受けることができます。特定の RAM ユーザーまたは RAM ロールのみが RAM ロールを引き受けることができるように指定する場合は、RAM ロールの信頼ポリシーを変更できます。詳細については、「例 1: RAM ロールの信頼エンティティを Alibaba Cloud アカウントに変更する」をご参照ください。

    2. RAM ロールに権限を付与します。

      1. ロール ページで、admin-oss ロールの 操作 列の 権限付与 をクリックします。

      2. 権限付与 パネルで、[AliyunOSSReadOnlyAccess] ポリシーを選択します。

        重要

        AliyunOSSReadOnlyAccess ポリシーは、OSS リソースに対する読み取り専用権限を RAM ロールに付与します。カスタムポリシーを作成して、特定のバケットまたはバケット内の特定のディレクトリへのアクセス権限のみを付与できます。カスタムポリシーの詳細については、「RAM ポリシー」をご参照ください。

      3. [権限の付与] をクリックします。

    ステップ 2: 企業 B が RAM ユーザーを作成し、RAM ロールを引き受ける権限を RAM ユーザーに付与する

    企業 B は、RAM ロールを引き受ける権限を持つ RAM ユーザーを作成する必要があります。企業 B は、RAM ユーザーを使用して、企業 A によって作成された RAM ロールを引き受けることができます。

    1. RAM ユーザーを作成します。

      1. 企業 B として RAM コンソール にログインします。

      2. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザー を選択します。

      3. ユーザー ページで、ユーザーの作成 をクリックします。

      4. ユーザーの作成 ページの ユーザーアカウント情報 セクションで、ログイン名 パラメーターと [表示名] パラメーターを構成します。

      5. [アクセスモード] セクションで、[コンソールアクセス] を選択し、ビジネス要件に基づいて [ログインパスワードの設定]、[パスワードのリセット]、[MFA の有効化] パラメーターを指定します。

        説明

        [ログインパスワードの設定] パラメーターで [カスタムパスワードのリセット] を選択した場合は、パスワードの複雑さの要件を満たすパスワードを指定する必要があります。パスワードの複雑さの要件の詳細については、「RAM ユーザーのパスワードポリシーを構成する」をご参照ください。

      6. [OK] をクリックします。

    2. 必要な権限を RAM ユーザーに付与します。

      1. ユーザー ページで、必要な権限を付与する RAM ユーザーを見つけます。次に、[アクション] 列の 権限の追加 をクリックします。

      2. [権限の付与] パネルで、ポリシーセクションのドロップダウンリストから システムポリシー を選択し、[AliyunSTSAssumeRoleAccess] をクリックします。

      3. [権限の付与] をクリックします。

    ステップ 3: 企業 B が作成した RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインし、企業 A が作成した RAM ロールを引き受ける

    企業 B は、作成した RAM ユーザーを使用して Alibaba Cloud 管理コンソールにログインし、ID を企業 A によって作成された RAM ロールに切り替えます。

    1. 企業 B の RAM ユーザーとして Alibaba Cloud 管理コンソールにログインします。詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」をご参照ください。

    2. コンソールの右上隅で、ポインターをプロフィール画像の上に移動し、[ID の切り替え] をクリックします。

    3. [ロールの切り替え] ページで、RAM ロールに関する情報を入力し、[送信] をクリックします。

      RAM ロールに関する次の情報を入力します。

      • [企業エイリアス/デフォルトドメイン名]: 企業 A のエイリアス、デフォルトドメイン名、または UID を入力します。詳細については、「用語」をご参照ください。

        この例では、デフォルトドメイン名 178810717******.onaliyun.com が使用されています。178810717****** は、企業 A に属する Alibaba Cloud アカウントの UID です。

      • [ロール名]: 企業 A によって作成された RAM ロールの名前である admin-oss を入力します。

    4. OSS コンソール にログインし、企業 A の OSS リソースを管理します。

    関連情報

    バケットポリシーを構成することで、別の Alibaba Cloud アカウントの RAM ユーザーを承認することもできます。詳細については、「チュートリアル: バケットポリシーを追加して別の Alibaba Cloud アカウントの RAM ユーザーを承認する」をご参照ください。