CreateRole による RAM ロールの作成 - RAM

操作説明

操作の概要

RAM ロールの詳細については、「RAM ロールの概要」をご参照ください。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

アクション：特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。
API：アクションを具体的に実行するための API。
アクセスレベル：各 API に対して事前定義されているアクセスの種類。有効な値：create、list、get、update、delete。
リソースタイプ：アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。
- リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。
- リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。
条件キー：サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。
依存アクション：ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

ram:CreateRole

create

*Role

acs:ram:*:{#accountId}:role/{#RoleName}

ram:TrustedPrincipalTypes
ram:ServiceNames

なし

リクエストパラメーター

パラメーター	型	必須 / 任意	説明	例
RoleName	string	任意	RAM ロールの名前です。長さは 1～64 文字で、英字、数字、ピリオド (.)、ハイフン (-) を使用できます。	ECSAdmin
Description	string	任意	RAM ロールの説明です。長さは 1～1,024 文字です。	ECS管理角色
AssumeRolePolicyDocument	string	任意	信頼できるエンティティ（Alibaba Cloud アカウント、Alibaba Cloud サービス、または ID プロバイダー (IdP)）を指定する信頼ポリシーです。説明 RAM ユーザーは、信頼された Alibaba Cloud サービスの RAM ロールを偽装できません。	{"Statement":[{"Action":"sts:AssumeRole","Effect":"Allow","Principal":{"RAM":"acs:ram::123456789012****:root"}}],"Version":"1"}
MaxSessionDuration	integer	任意	RAM ロールの最大セッション時間です。有効な値：3600～43200（単位：秒）。デフォルト値：3600。このパラメーターを指定しない場合、デフォルト値が使用されます。	3600
Tag	array<object>	任意	タグです。
	object	任意	タグです。
Key	string	任意	タグのキーです。	k1
Value	string	任意	タグの値です。	v1

以下の内容では、AssumeRolePolicyDocument パラメーターのサンプル値を示します。

以下のポリシーでは、ID が 123456789012**** の Alibaba Cloud アカウントに属するすべての RAM ユーザーが、当該 RAM ロールを偽装できます。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"RAM": [
				"acs:ram::123456789012****:root"
			]
		}
	}],
	"Version": "1"
}

以下のポリシーでは、ID が 123456789012**** の信頼された Alibaba Cloud アカウントに属する RAM ユーザー testuser が、当該 RAM ロールを偽装できます。

説明

ロールを作成する前に、ログイン名が testuser@123456789012****.onaliyun.com の RAM ユーザー testuser を作成済みであることを確認してください。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"RAM": [
				"acs:ram::123456789012****:user/testuser"
			]
		}
	}],
	"Version": "1"
}

以下のポリシーでは、現在の信頼された Alibaba Cloud アカウントの Elastic Compute Service (ECS) サービスが、当該 RAM ロールを偽装できます。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Service": [
				"ecs.aliyuncs.com"
			]
		}
	}],
	"Version": "1"
}

以下のポリシーでは、ID が 123456789012**** の現在の信頼された Alibaba Cloud アカウントに属する Security Assertion Markup Language (SAML) ID プロバイダー (IdP) testprovider が、当該 RAM ロールを偽装できます。

説明

ロールを作成する前に、SAML ID プロバイダー testprovider を作成済みであることを確認してください。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Federated": [
				"acs:ram::123456789012****:saml-provider/testprovider"
			]
		},
		"Condition": {
			"StringEquals": {
				"saml:recipient": "https://signin.aliyun.com/saml-role/sso"
			}
		}
	}],
	"Version": "1"
}

以下のポリシーでは、ID が 123456789012**** の現在の信頼された Alibaba Cloud アカウントに属する OpenID Connect (OIDC) ID プロバイダー (IdP) TestOIDCProvider が、当該 RAM ロールを偽装できます。

説明

ロールを作成する前に、OIDC ID プロバイダー TestOIDCProvider を作成済みであることを確認してください。

{
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Federated": [
				"acs:ram::123456789012****:oidc-provider/TestOIDCProvider"
			]
		},
		"Condition": {
			"StringEquals": {
				"oidc:aud": [
					"496271242565057****"
				],
				"oidc:iss": "https://dev-xxxxxx.okta.com",
				"oidc:sub": "KryrkIdjylZb7agUgCEf****"
			}
		}
	}],
	"Version": "1"
}

レスポンスフィールド

フィールド	型	説明	例
	object	レスポンスパラメーターです。
Role	object	RAM ロールの情報です。
AssumeRolePolicyDocument	string	RAM ロールを偽装する信頼できるエンティティを指定する信頼ポリシーです。	{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": "acs:ram::123456789012****:root" } } ], "Version": "1" }
Description	string	RAM ロールの説明です。	ECS管理角色
MaxSessionDuration	integer	RAM ロールの最大セッション時間です。	3600
RoleName	string	RAM ロールの名前です。	ECSAdmin
CreateDate	string	RAM ロールの作成日時です。	2015-01-23T12:33:18Z
RoleId	string	RAM ロールの ID です。	901234567890****
Arn	string	RAM ロールの Alibaba Cloud Resource Name (ARN) です。	acs:ram::123456789012****:role/ECSAdmin
RequestId	string	リクエスト ID です。	04F0F334-1335-436C-A1D7-6C044FE73368

例

成功レスポンス

JSONJSON

{
  "Role": {
    "AssumeRolePolicyDocument": "{ \"Statement\": [ { \"Action\": \"sts:AssumeRole\", \"Effect\": \"Allow\", \"Principal\": { \"RAM\": \"acs:ram::123456789012****:root\" } } ], \"Version\": \"1\" }",
    "Description": "ECS管理角色",
    "MaxSessionDuration": 3600,
    "RoleName": "ECSAdmin",
    "CreateDate": "2015-01-23T12:33:18Z",
    "RoleId": "901234567890****",
    "Arn": "acs:ram::123456789012****:role/ECSAdmin"
  },
  "RequestId": "04F0F334-1335-436C-A1D7-6C044FE73368"
}

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。