すべてのプロダクト
Search

このプロダクト

    Performance Testing:RAM ロールを使用して Alibaba Cloud アカウント間でリソースにアクセスする

    ドキュメントセンター

    Performance Testing:RAM ロールを使用して Alibaba Cloud アカウント間でリソースにアクセスする

    最終更新日:Apr 02, 2025

    このトピックでは、RAM ロールを使用して Alibaba Cloud アカウント間でリソースにアクセスする方法について説明します。

    前提条件

    PTS がアクティブ化されていること。詳細については、「請求の概要」をご参照ください。

    背景情報

    企業 A は、企業 B に一部のクラウドリソースの使用を許可して、ビジネス運用を代行で実行したいと考えています。このために、企業 A は RAM ロールを作成して、企業 B が指定されたクラウドリソースに代行でアクセスして使用できるようにすることができます。 RAM ロールは、固定の ID クレデンシャルを持たない仮想ユーザーです。 RAM ロールは、信頼できるエンティティによって引き受けられた後にのみ使用できます。 RAM ロールを使用して、企業 B が企業 A の指定されたクラウドリソースにアクセスして使用できるようにするには、次の手順を実行します。

    手順 1: 企業 A の Alibaba Cloud アカウントを使用して RAM ロールを作成する

    企業 A の Alibaba Cloud アカウントを使用して RAM コンソールにログインし、RAM ロールを作成します。

    1. 管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. 表示される [ロールの作成] ページで、[cloud アカウント][プリンシパルタイプ] として、[その他のアカウント][プリンシパル名] として選択し、企業 B の Alibaba Cloud アカウントを入力して、[OK] をクリックします。

      image

      説明

      • [現在の Alibaba Cloud アカウント]: 現在の Alibaba Cloud アカウントに属するすべての RAM ユーザーに RAM ロールの引き受けを許可する場合は、現在の Alibaba Cloud アカウント[現在の Alibaba Cloud アカウント] を選択します。

      • [その他の Alibaba Cloud アカウント]: 別の Alibaba Cloud アカウントに属するすべての RAM ユーザーに RAM ロールの引き受けを許可する場合は、異なる Alibaba Cloud アカウント[その他の Alibaba Cloud アカウント] を選択し、Alibaba Cloud アカウントの ID を入力します。このオプションは、Alibaba Cloud アカウント間でリソースアクセス権限を付与するために提供されています。詳細については、「RAM ロールを使用して Alibaba Cloud アカウント間で権限を付与する」をご参照ください。

        Alibaba Cloud アカウントの ID は、セキュリティ設定 ページで確認できます。

      • Alibaba Cloud アカウントに属するすべての RAM ユーザーではなく、特定の RAM ユーザーに RAM ロールの引き受けを許可する場合は、次のいずれかの方法を使用できます。

    4. 表示されるダイアログボックスで、ロール名を入力し、[OK] をクリックします。

    手順 2: 企業 A の Alibaba Cloud アカウントを使用して RAM ロールに権限を付与する

    手順 1 で作成された RAM ロールには権限がありません。そのため、企業 A は RAM ロールに権限を付与する必要があります。

    1. 管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、管理する RAM ロールを見つけ、[権限の付与][アクション] 列の をクリックします。

    4. [権限の付与] パネルで、AliyunPTSFullAccess 権限を RAM ロールに付与します。[権限の付与] をクリックし、ウィンドウを閉じます。image

    手順 3: 企業 B の Alibaba Cloud アカウントを使用して RAM ユーザーを作成する

    企業 B の Alibaba Cloud アカウントを使用して RAM コンソールにログインし、RAM ユーザーを作成します。

    1. 管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。image

    4. [ユーザーアカウント情報] セクションの [ユーザーの作成] ページで、次のパラメーターを構成します。

      • [ログイン名]: ログイン名は最大 64 文字で、文字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_) を使用できます。

      • [表示名]: 表示名は最大 128 文字です。

      • [タグ]: edit アイコンをクリックし、タグキーとタグ値を入力します。 RAM ユーザーに 1 つ以上のタグを追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。

      説明

      [ユーザーの追加] をクリックすると、複数の RAM ユーザーを一度に作成できます。

    5. [アクセスモード] セクションで、アクセスモードを選択し、必要なパラメーターを設定します。

      Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーには 1 つのアクセスモードのみを選択することをお勧めします。このようにして、個人の RAM ユーザーはプログラムの RAM ユーザーから分離されます。

      • [コンソールアクセス]

        RAM ユーザーが個人を表す場合は、RAM ユーザーにコンソールアクセスを選択することをお勧めします。このようにして、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメーターを設定する必要があります。

        • [コンソールパスワードの設定]: [デフォルトパスワードを自動的に再生成する] または [カスタムパスワードをリセットする] を選択できます。[カスタムパスワードをリセットする] を選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。

        • [パスワードのリセット]: 次回のログイン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。

        • [MFA を有効にする]: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。 MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。

      • [永続 Accesskey を使用してアクセスする]

        RAM ユーザーがプログラムを表す場合は、RAM ユーザーに [永続 AccessKey を使用してアクセスする] を選択できます。このようにして、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。 OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「永続 AccessKey を使用したアクセスAccessKey ペアを取得する」をご参照ください。

        重要

        • RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。そのため、AccessKey シークレットをバックアップする必要があります。

        • AccessKey ペアは、アプリケーションアクセスのための永続的なクレデンシャルです。 Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。クレデンシャル漏洩のリスクを防ぐために、セキュリティトークンサービス (STS) トークンを使用することをお勧めします。詳細については、「API 操作を呼び出すためのアクセス資格情報の使用に関するベストプラクティス」をご参照ください。

    6. [OK] をクリックします。

    7. プロンプトに従ってセキュリティ検証を完了します。

    手順 4: 企業 B の Alibaba Cloud アカウントを使用して RAM ユーザーに権限を付与する

    企業 B は、AliyunSTSAssumeRoleAccess 権限を RAM ユーザーに付与する必要があります。これにより、RAM ユーザーは企業 A によって作成された RAM ロールを引き受けることができます。

    1. 管理権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、RAM コンソール にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、作成した RAM ユーザーを見つけ、[権限の追加][アクション] 列の をクリックします。

    4. [権限の付与] パネルで、AliyunSTSAssumeRoleAccess 権限を RAM ユーザーに付与します。[権限の付与] をクリックし、ウィンドウを閉じます。image

    手順 5: 企業 B の RAM ユーザーを使用して企業 A の Alibaba Cloud リソースにアクセスする

    1. 手順 3 で作成した企業 B の RAM ユーザーを使用して、Alibaba Cloud 管理コンソール にログインします。

    2. Alibaba Cloud 管理コンソールのホームページで、右上隅のプロフィール画像にポインターを移動し、[ロールの切り替え] をクリックします。

    3. [ロールの切り替え] ページで、企業 A のエイリアスまたはデフォルトのドメイン名と、手順 1 で作成した企業 A の RAM ロールの名前を入力し、[送信] をクリックします。image

    4. 企業 B は、企業 A の Alibaba Cloud リソースを管理できます。