すべてのプロダクト
Search

このプロダクト

    :CreateRole

    ドキュメントセンター

    :CreateRole

    最終更新日:Dec 21, 2025

    Resource Access Management (RAM) ロールを作成します。

    操作説明

    操作の説明

    RAM ロールの詳細については、「RAM ロールの概要」をご参照ください。

    今すぐお試しください

    この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

    テスト

    RAM 認証

    下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

    • アクション:特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。

    • API:アクションを具体的に実行するための API。

    • アクセスレベル:各 API に対して事前定義されているアクセスの種類。有効な値:create、list、get、update、delete。

    • リソースタイプ:アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。

      • リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。

      • リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。

    • 条件キー:サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。

    • 依存アクション:ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

    アクション

    アクセスレベル

    リソースタイプ

    条件キー

    依存アクション

    ram:CreateRole

    create

    *Role

    acs:ram:*:{#accountId}:role/{#RoleName}
    • ram:TrustedPrincipalTypes
    • ram:ServiceNames
    		 なし

    リクエストパラメーター

    パラメーター

    必須 / 任意

    説明

    RoleName

    string

    任意

    RAM ロールの名前。

    名前は 1~64 文字で、文字、数字、ピリオド (.)、ハイフン (-) を使用できます。

    ECSAdmin
    Description

    string

    任意

    RAM ロールの説明。

    説明は 1~1,024 文字である必要があります。

    ECS administrator
    AssumeRolePolicyDocument

    string

    任意

    RAM ロールを引き受ける 1 つ以上の信頼できるエンティティを指定する信頼ポリシー。信頼できるエンティティは、Alibaba Cloud アカウント、Alibaba Cloud サービス、または ID プロバイダー (IdP) です。

    説明

    RAM ユーザーは、信頼できる Alibaba Cloud サービスの RAM ロールを引き受けることはできません。

    {"Statement":[{"Action":"sts:AssumeRole","Effect":"Allow","Principal":{"RAM":"acs:ram::123456789012****:root"}}],"Version":"1"}
    MaxSessionDuration

    integer

    任意

    RAM ロールの最大セッション期間。

    有効値:3600~43200。単位:秒。デフォルト値:3600。

    このパラメーターを指定しない場合、デフォルト値が使用されます。

    3600
    Tag

    array<object>

    任意

    タグ。

    object

    任意

    タグ。

    Key

    string

    任意

    タグのキー。

    k1
    Value

    string

    任意

    タグの値。

    v1

    以下に、AssumeRolePolicyDocument パラメーターのサンプル値を示します。

    • 次のポリシーでは、ID が 123456789012**** の Alibaba Cloud アカウントのすべての RAM ユーザーが RAM ロールを引き受けることが許可されます。

    {
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"RAM": [
				"acs:ram::123456789012****:root"
			]
		}
	}],
	"Version": "1"
}

    • 次のポリシーでは、信頼できる Alibaba Cloud アカウント (ID: 123456789012****) の testuser という名前の RAM ユーザーが RAM ロールを引き受けることが許可されます。

    説明

    ロールを作成する前に、ログイン名が testuser@123456789012****.onaliyun.comtestuser という名前の RAM ユーザーが作成されていることを確認してください。

    {
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"RAM": [
				"acs:ram::123456789012****:user/testuser"
			]
		}
	}],
	"Version": "1"
}

    • 次のポリシーでは、現在の信頼できる Alibaba Cloud アカウントの Elastic Compute Service (ECS) サービスが RAM ロールを引き受けることが許可されます。

    {
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Service": [
				"ecs.aliyuncs.com"
			]
		}
	}],
	"Version": "1"
}

    • 次のポリシーでは、現在の信頼できる Alibaba Cloud アカウント (ID: 123456789012****) の testprovider という名前の Security Assertion Markup Language (SAML) IdP が RAM ロールを引き受けることが許可されます。

    説明

    ロールを作成する前に、testprovider という名前の SAML IdP を作成済みであることを確認してください。

    {
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Federated": [
				"acs:ram::123456789012****:saml-provider/testprovider"
			]
		},
		"Condition": {
			"StringEquals": {
				"saml:recipient": "https://signin.aliyun.com/saml-role/sso"
			}
		}
	}],
	"Version": "1"
}

    • 次のポリシーでは、現在の信頼できる Alibaba Cloud アカウント (ID: 123456789012****) の TestOIDCProvider という名前の OpenID Connect (OIDC) IdP が RAM ロールを引き受けることが許可されます。

    説明

    ロールを作成する前に、TestOIDCProvider という名前の OIDC IdP を作成済みであることを確認してください。

    {
	"Statement": [{
		"Action": "sts:AssumeRole",
		"Effect": "Allow",
		"Principal": {
			"Federated": [
				"acs:ram::123456789012****:oidc-provider/TestOIDCProvider"
			]
		},
		"Condition": {
			"StringEquals": {
				"oidc:aud": [
					"496271242565057****"
				],
				"oidc:iss": "https://dev-xxxxxx.okta.com",
				"oidc:sub": "KryrkIdjylZb7agUgCEf****"
			}
		}
	}],
	"Version": "1"
}

    レスポンスフィールド

    フィールド

    説明

    object

    レスポンスパラメーター。

    Role

    object

    RAM ロールに関する情報。

    AssumeRolePolicyDocument

    string

    RAM ロールを引き受ける信頼できるエンティティを指定する信頼ポリシー。

    { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": "acs:ram::123456789012****:root" } } ], "Version": "1" }
    Description

    string

    RAM ロールの説明。

    ECS administrator
    MaxSessionDuration

    integer

    RAM ロールの最大セッション期間。

    3600
    RoleName

    string

    RAM ロールの名前。

    ECSAdmin
    CreateDate

    string

    RAM ロールが作成された時刻。

    2015-01-23T12:33:18Z
    RoleId

    string

    RAM ロールの ID。

    901234567890****
    Arn

    string

    RAM ロールの Alibaba Cloud リソースネーム (ARN)。

    acs:ram::123456789012****:role/ECSAdmin
    RequestId

    string

    リクエスト ID。

    04F0F334-1335-436C-A1D7-6C044FE73368

    成功レスポンス

    JSONJSON

    {
  "Role": {
    "AssumeRolePolicyDocument": "{ \"Statement\": [ { \"Action\": \"sts:AssumeRole\", \"Effect\": \"Allow\", \"Principal\": { \"RAM\": \"acs:ram::123456789012****:root\" } } ], \"Version\": \"1\" }",
    "Description": "ECS administrator",
    "MaxSessionDuration": 3600,
    "RoleName": "ECSAdmin",
    "CreateDate": "2015-01-23T12:33:18Z",
    "RoleId": "901234567890****",
    "Arn": "acs:ram::123456789012****:role/ECSAdmin"
  },
  "RequestId": "04F0F334-1335-436C-A1D7-6C044FE73368"
}

    エラーコード

    完全なリストについては、「エラーコード」をご参照ください。

    変更履歴

    完全なリストについては、「変更履歴」をご参照ください。