すべてのプロダクト
Search
ドキュメントセンター

Resource Access Management:Azure 専門家向け Alibaba Cloud Resource Access Management

最終更新日:Apr 03, 2026

本ガイドは、Microsoft Entra のユーザー管理、ロール割り当て、条件付きアクセスなどの機能に慣れた専門家を対象としています。Microsoft Entra と Alibaba Cloud Resource Access Management (RAM) のコア概念、ユースケース、および主な違いを体系的に対応付けます。これにより、マルチクラウド環境における同等機能の検索や、設計・用語の相違による誤解の回避が可能になります。

本ガイドが必要な理由

Alibaba Cloud RAM と Microsoft Entra は、用語およびアーキテクチャにおいて大きく異なります。Azure の ID およびアクセス管理システム(Microsoft Entra)に精通している方が、今後 Alibaba Cloud 上で同様のタスクを実行する必要がある場合、Azure の経験をそのまま適用すると誤解を招く可能性があります。たとえば:

  • Azure では「ロール」は権限の集合体ですが、Alibaba Cloud では「RAM ロール」はアイデンティティエンティティです。両者は根本的に異なる概念です。

  • Azure ではアイデンティティ管理とリソースアクセス制御が分離されていますが、Alibaba Cloud RAM では統合された制御が提供されます。

  • Alibaba Cloud には「サービスプリンシパル」という概念はありません。代わりに、プログラムによるアイデンティティは AccessKey またはロールの引き受けによって実装されます。

本ガイドでは、概念およびシナリオの体系的な対応付けを行い、Azure/Microsoft Entra から Alibaba Cloud のアクセス制御へ移行する際の包括的な思考モデル構築を支援します。

本ガイドの構成

本ガイドでは、以下のトピックについて説明します:

  • プロダクト対応表:Azure と Alibaba Cloud のコアサービス間の対応関係および設計思想の違いを理解します。

  • 基本概念の対応表:リソースアーキテクチャ、アイデンティティエンティティ、権限モデルにおける両プラットフォーム間の用語対応を確立し、主な違いを理解します。

  • シナリオ別のガイダンス:ID 認証、クロステナントアクセス、ログ監査、開発連携など、一般的なシナリオにおける Azure/Microsoft Entra と対応する Alibaba Cloud のソリューションを紹介します。

プロダクト対応表

詳細に入る前に、まず全体像を把握しましょう。以下の表では、Microsoft Entra エコシステムのコアサービスとその Alibaba Cloud における対応サービスを示します。

Azure サービス

Alibaba Cloud サービス

説明

Microsoft Entra ID

Resource Access Management (RAM)

各クラウドプラットフォームのコアアイデンティティおよびアクセス管理サービスです。多要素認証(MFA)、シングルサインオン(SSO)、アプリケーション統合、トークン発行などの機能を提供します。詳細については、「ID 認証およびアプリケーション統合」をご参照ください。

Azure RBAC/Entra RBAC

Resource Access Management (RAM)

Alibaba Cloud RAM では、ポリシーを使用してアカウント内のすべてのリソースを一元管理します。詳細については、「権限概念の対応表」をご参照ください。

Microsoft Graph

RAM OpenAPI

ID エンティティ、アプリケーションアクセス、ポリシー割り当ての管理を行うための API です。詳細については、「開発および SDK」をご参照ください。

Microsoft Entra External ID

Resource Access Management (RAM)

クロスアカウント/クロステナントアクセス機能を提供します。詳細については、「クロスアカウント/クロステナントアクセス」をご参照ください。

設計思想の違い

Azure および Alibaba Cloud はいずれもアイデンティティおよびアクセス管理機能を提供しますが、アーキテクチャ上のアプローチは異なります:

Microsoft Entra ID は、Azure におけるアイデンティティおよびアクセス管理のための専用サービスです。Entra ID テナントは、ユーザー、アプリケーション、アクセスポリシーなどのエンティティを中央集約的に整理するための専用アイデンティティ境界です。この境界は、Azure リソースのサブスクリプションとは独立しています。このような設計は、複雑なエンタープライズ環境における統合アイデンティティガバナンスを容易にします。

Alibaba Cloud では、アクセス制御を Alibaba Cloud アカウント の組み込み機能として統合しています。Alibaba Cloud アカウントは、アイデンティティおよびリソース管理の境界の両方を担います。RAM ユーザー、RAM ロール、ポリシーはすべてアカウントの範囲内で定義され、有効となります。この設計により、アイデンティティとリソースの関係がより直接的になり、アクセス制御システムの迅速な構築が可能になります。

基本概念の対応表

本セクションでは、リソースアーキテクチャ、アイデンティティエンティティ、権限モデルという観点から、両プラットフォームのコア概念の用語および主な違いを体系的に対応付けます。

リソース管理アーキテクチャ

両プラットフォームとも、リソースを階層ツリーで整理しますが、各レベルの名称および意味は異なります。

Azure の概念

Alibaba Cloud の概念

レベル

説明

テナント

管理アカウント

最上位コンテナ

エンタープライズ向けの最上位管理コンテナです。管理アカウントは、Resource Directory 全体の所有者であり、Resource Directory、フォルダー、メンバーアカウントを完全に制御できます。Root フォルダは、ディレクトリ構造の最上位ノードです。

マネジメントグループ

フォルダー

組織単位

複数のサブスクリプション/アカウントを整理・管理するための階層構造です。どちらもネストされたサブマネジメントグループ/フォルダーをサポートします。

サブスクリプション

メンバーアカウント

隔離境界

メンバーアカウントは、論理的に Azure のサブスクリプションと同等であり、リソースの隔離境界として機能します。

リソースグループ

リソースグループ

グループ化単位

リソースのコンテナです。Alibaba Cloud では、リソースグループはリソースのライフサイクル管理には使用されません。

リソース

リソース

リソース

仮想マシン、ストレージ、データベースなどの特定のクラウドリソースです。

  • Azure のリソース階層

    Azure では、5 段階の階層(テナント → マネジメントグループ → サブスクリプション → リソースグループ → リソース)を使用します。テナントはアイデンティティ境界として機能します。マネジメントグループは、複数のサブスクリプションにまたがる統一コンプライアンス制御および論理的整理に使用されます。サブスクリプションは、課金およびリソース隔離の基本単位です。

  • Alibaba Cloud のリソース階層

    Alibaba Cloud では、管理アカウント → フォルダー → メンバーアカウント → リソースグループ → リソースという階層を使用します。管理アカウントは Resource Directory の所有者です。フォルダーはメンバーアカウントを整理するために使用され、メンバーアカウントはリソース隔離の境界です。

主な違い

  • アイデンティティ境界 vs. リソース境界:Microsoft Entra ID テナントは、ユーザー、アプリケーション、アクセスポリシーなどのアイデンティティ関連データを隔離するための独立したアイデンティティ境界です。テナント内では Azure リソースを直接作成できません。一方、Alibaba Cloud の管理アカウントは、本質的に Alibaba Cloud アカウントであり、リソースを直接作成できます。ただし、エンタープライズ環境では、管理アカウント下にビジネスリソースを作成することは推奨されません。

  • オプションの Resource Directory:Azure のサブスクリプションは、必ずテナントに関連付けられ、マネジメントグループ階層の一部である必要があります。一方、Alibaba Cloud の Resource Directory はオプション機能です。管理アカウントおよびフォルダーの階層構造は、Resource Directory を有効化した後にのみ利用可能です。Resource Directory が有効化されていない場合、Alibaba Cloud アカウントはスタンドアロンの最上位コンテナとして使用できます。

アイデンティティ概念の対応表

以下の表では、両プラットフォーム間のアイデンティティエンティティ概念を対応付けます。

Microsoft Entra の用語

Alibaba Cloud RAM の用語

エンティティタイプ

説明

Entra ID ユーザー

RAM ユーザー

人間のアイデンティティ

RAM ユーザーは、アカウント内のアイデンティティエンティティであり、アカウントを跨いで存在することはできません(Entra ID のゲストユーザーとは異なります)。

サービス プリンシパル

RAM ユーザー(AccessKey あり)

プログラムによるアイデンティティ

RAM ユーザーは、プログラムによる認証のために AccessKey を作成できます。AccessKey の使用は、サービスプリンシパルのクライアントシークレットの使用と類似しています。

マネージド ID /ワークロード ID

ECS インスタンス RAM ロール/Function ロール/RRSA

プログラムによるアイデンティティ

ワークロードが長期的な認証情報を管理することなくクラウドリソースにアクセスできるようにします。Alibaba Cloud における同等機能は、RAM ロールに基づいて実装されます。

Entra ID グループ

RAM ユーザーグループ

グループ化

RAM ユーザーグループは、一括権限付与にのみ使用されます。

Global Administrator 権限が付与されたユーザーまたはサービスプリンシパル

AdministratorAccess ポリシー(スーパー管理者とも呼ばれます)が付与された RAM ユーザーまたは RAM ロール

管理者

RAM スーパー管理者は、アカウント内のすべてのリソース(アイデンティティを含む)を完全に制御できます。一方、Entra ID のグローバル管理者は、アイデンティティのみを管理でき、サブスクリプションは管理できません。

主な違い

  • 人間のアイデンティティ設計:Microsoft Entra ID では、人間のアイデンティティとプログラムによるアイデンティティを厳密に分離します。ユーザーエンティティは、社内従業員や外部パートナーなどの自然人を目的として設計されています。一方、Alibaba Cloud の RAM ユーザーは汎用のアイデンティティであり、使用ケースは設定された認証情報によって決定されます。コンソールログインパスワードが設定されている場合は人間のアイデンティティとして動作し、AccessKey が設定されている場合はプログラムによるアイデンティティとして動作します。

  • プログラムによるアイデンティティ設計:Entra ID のサービスプリンシパルは、アプリケーション認証を目的として設計されたエンティティです。アプリケーション登録、エンタープライズアプリケーション、マネージドアイデンティティなどの機能はすべてサービスプリンシパルに依存しています。一方、Alibaba Cloud にはプログラム専用のアイデンティティタイプは存在しません。RAM ユーザーおよび RAM ロール の両方が、プログラムまたはサービスによって使用できます。プログラムは、RAM ユーザーの AccessKey を長期的なアクセス認証情報として使用するか、あるいはより安全で短期間のアクセス権限を得るために、一時的に RAM ロールを引き受けることができます。

権限概念の対応表

以下の表では、両プラットフォーム間の権限管理概念を対応付けます。

Azure/Microsoft Entra の用語

Alibaba Cloud RAM の用語

説明

Azure RBAC ロール/Entra RBAC ロール

ポリシー

アイデンティティが実行できる操作を定義する権限のコレクションです。

Entra ロールの割り当て

ポリシー権限付与

ポリシーをアイデンティティエンティティに関連付ける操作です。

Azure 組み込みロール/Entra 組み込みロール

システムポリシー

クラウドプロバイダーが事前定義した権限のコレクションです。

Entra ID カスタム ロール

カスタムポリシー

ユーザーがニーズに応じて定義した権限のコレクションです。

条件付きアクセス

ポリシー内の条件要素

ソース IP 制限や MFA 要求などの条件に基づくアクセス制御です。

主な違い

  • ロールとポリシーの意味的違い

    Azure/Microsoft Entra では、ロールは権限のコレクションを表し、権限のコンテナとして機能しますが、アイデンティティではありません。一方、Alibaba Cloud RAM では、RAM ロール はアイデンティティの一種であり、他のアイデンティティによって引き受けられ、ポリシーが付与されて初めて操作を実行できます。Entra ID のロールという概念は、Alibaba Cloud RAM のポリシーに対応します。

  • ポリシーのスコープの違い

    Microsoft エコシステムでは権限が分割されています。Entra RBAC ロールは、Entra テナント内のリソース(ユーザー、グループ、サービスプリンシパルなど)へのアクセス制御に特化しており、仮想マシンやストレージなどのクラウドリソースへの制御は Azure RBAC が担当します。一方、Alibaba Cloud では統合管理モデルを採用しており、RAM ポリシーのスコープは単一のクラウドアカウント下のすべてのサービスおよびリソースをカバーします。
    さらに、RAM ポリシーは権限付与の粒度において高い柔軟性を提供します。サービスレベルや操作レベルといった高レベルの制御から、最も細かいリソースレベルまでの制御をサポートします。

    説明

    Alibaba Cloud サービスごとに権限制御の粒度は異なります。各クラウドサービスがサポートする権限付与の粒度の詳細については、「RAM をサポートする Alibaba Cloud サービス」をご参照ください。

シナリオ

前述のアーキテクチャおよび概念の違いに基づき、本セクションでは、ID 認証、クロスアカウントアクセス、ログ監査、開発連携などの一般的なシナリオにおける Microsoft Entra と Alibaba Cloud の具体的なソリューションを対応付けます。

ID 認証およびアプリケーション統合

両プラットフォームとも、多要素認証、エンタープライズ向けシングルサインオン、アプリケーション統合の機能を提供しますが、設計および実装には違いがあります。

Microsoft Entra

Alibaba Cloud

ユースケース

説明

Entra ID ユーザー管理

RAM ユーザー/ユーザーグループ 管理

ユーザー/グループの管理

ユーザーおよびユーザーグループの作成、削除、属性の変更などの管理を行います。

Entra MFA

RAM MFA

多要素認証

RAM は、仮想 MFA (Entra の ソフトウェア OATH トークン に相当)、パスキー、セキュリティ用モバイル端末 (Entra の SMS に相当)、およびセキュリティ用メールアドレスなど、さまざまな多要素認証 (MFA) メソッドをサポートしています。

Entra ID フェデレーション認証

RAM SSO / CloudSSO

ID フェデレーション

Alibaba Cloud では、企業の IdP との統合に、ユーザー SSO モードおよびロール SSO モードの両方をサポートします。CloudSSO は、Resource Directory 内のマルチアカウントシナリオに適しています。

エンタープライズアプリケーション管理

IDaaS

エンタープライズ SSO

OAuth アプリケーション管理は、Alibaba Cloud サービスを対象とした承認統合を提供します。Alibaba Cloud IDaaS は、エンタープライズアプリケーション統合のための独立した ID プロバイダー(IdP)として機能します。

Entra Connect

-

アカウント同期

オンプレミスのエンタープライズ ID をクラウドに同期します。

Microsoft Entra トークン サービス

Security Token Service (STS) / OAuth サービス

認証情報トークンサービス

Alibaba Cloud STS は、ロールの引き受け シナリオで一時的なセキュリティ認証情報を発行するために使用されます。OAuth サービスは、OIDC/OAuth アプリケーションに対してアクセストークンを発行するために使用されます。

主な違い

  • ID フェデレーション

    Entra ID は、エンタープライズまたは SaaS アプリケーションとの統一認証を実現するための ID プロバイダー(IdP)として機能できます。また、ADFS やその他のサードパーティ IdP を信頼して接続するサービスプロバイダー(SP)としても機能できます。一方、Alibaba Cloud RAM は、主に企業の既存 IdP を信頼して統合するサービスプロバイダー(SP)として機能します。

  • トークンサービス

    Microsoft Entra および Alibaba Cloud RAM は、トークン発行アーキテクチャにおいて明確な違いがあります。Entra ID は、OAuth 2.0 および OIDC プロトコルをネイティブにサポートする統一トークン配布サービスを使用します。すべての ID エンティティ(ユーザー、アプリケーション、サービスプリンシパル)は、この単一エンドポイントから JWT 形式のアクセストークンを取得します。一方、Alibaba Cloud RAM では、2 つの比較的独立したトークンサービスを提供します:

    • STS サービス:ロールの引き受けまたはロール SSO シナリオで一時的なセキュリティ認証情報(STS トークン)を発行する責任を負います。

    • OAuth サービス:Alibaba Cloud CLI などの公式ツールおよび RAM に登録された OIDC/OAuth アプリケーションに対して JWT 形式のアクセストークンを発行するために使用されます。

クロスアカウント/クロステナントアクセス

両プラットフォームとも、クロスアカウントアクセス(Entra ID ではクロステナントアクセスと呼ばれます)をサポートしますが、実装メカニズムは異なります。

Microsoft Entra

Alibaba Cloud

ユースケース

説明

外部 ID B2B コラボレーション

RAM ロールの引き受け

エンタープライズユーザー向けのクロスアカウントアクセス

Alibaba Cloud では、主にターゲットアカウントの RAM ロールを引き受けることで実現されます。

マルチテナントアプリケーション / B2B コラボレーション

RAM ロールの引き受け

エンタープライズアプリケーション向けのクロスアカウントアクセス

Entra ID では、アプリケーションをマルチテナントとして登録できます。Alibaba Cloud では、STS AssumeRole を使用して一時的なセキュリティ認証情報を取得します。

外部テナントでの外部 ID

IDaaS CIAM

コンシューマー向けアプリケーションアクセス

RAM はこの機能を提供していません。代わりに Alibaba Cloud IDaaS CIAM を使用してください。

主な違い

Entra ID では、クロステナントアクセスは主に B2B コラボレーションメカニズムに依存します。ターゲットテナントは、外部ユーザーをゲストとして招待し、ディレクトリに追加したうえで、アプリケーションまたはリソースへのアクセスロールを割り当てる必要があります。

Alibaba Cloud では、クロスアカウントアクセスはロールの引き受けによって実現され、ターゲットアカウントにアイデンティティエンティティを作成する必要はありません。プログラムまたはユーザーは、STS サービスを呼び出すこと(AssumeRoleAssumeRoleWithSAML、または AssumeRoleWithOIDC などのインターフェイスを使用)により、ターゲットアカウントの RAM ロールのアイデンティティを動的に引き受けてリソースにアクセスできます。

説明

一般的な RAM ロールの引き受けソリューションに加えて、Alibaba Cloud では、特定の製品向けにリソースベースのクロスアカウント認証メカニズム(たとえば、OSS バケットポリシー の設定や リソース共有 の使用など)も補足的に提供しています。

ログおよび監査

両プラットフォームとも、包括的な運用監査およびログ記録機能を提供します。

Microsoft Entra

Alibaba Cloud

説明

監査ログ

ActionTrail

どちらもコンソールおよび API 操作の追跡に使用されます。ActionTrail は Alibaba Cloud の独立したサービスであり、RAM の組み込み機能ではありません。

サインインログ

ActionTrail(サインインイベント)

Alibaba Cloud では、コンソールサインインイベントは ActionTrail ログに記録されます。個別のサインインログサービスは存在しません。

診断設定の構成

ActionTrail トレールの構成

どちらもログの長期保存および分析の構成に使用されます。

主な違い

  • ログの分類:Entra ID では、サインインログと監査ログを分離することで、セキュリティ追跡時に認証動作と管理操作を素早く区別できます。一方、Alibaba Cloud では集中管理モデルを採用しており、コンソールサインインなどの ID 認証イベントを ActionTrail サービスに統合しています。

  • 監査範囲のマッピング: Entra ID 監査ログは、ID 側にのみ焦点を当てており、テナント内のディレクトリ オブジェクト(ユーザー、グループ、アプリケーションなど)に対する操作を記録します。クラウドリソースに対する操作は、Azure アクティビティ ログ によって記録されます。したがって、概念的なマッピングという観点から見ると、Entra ID 監査ログと Azure アクティビティ ログの組み合わせは、RAM の ID 操作およびグローバルなクラウドリソース操作の両方をカバーする Alibaba Cloud の ActionTrail に対応します。

開発および SDK

両プラットフォームとも、包括的な開発ツールおよび SDK を提供します。

Microsoft Entra

Alibaba Cloud RAM

ユースケース

説明

Microsoft ID プラットフォーム

RAM OAuth サービス

OAuth/OIDC アプリケーション統合

どちらも OAuth/OIDC アプリケーションの構築およびクラウド認証プラットフォームとの統合に使用できます。

Microsoft Graph

RAM OpenAPI

API 呼び出し

どちらも ID エンティティ(ユーザー、グループなど)、アプリケーションアクセス、ポリシー割り当てのライフサイクル全体の管理を提供します。

Azure Identity SDK

認証情報プロバイダー

ID 認証 SDK

Alibaba Cloud SDK の認証情報プロバイダーモジュールは、認証情報管理機能を提供します。どちらも認証情報チェーンをサポートします。

MSAL / Microsoft.Identity.Web

-

認証ライブラリ

MSAL などの認証ライブラリは、開発者がアプリケーションを Microsoft Identity Platform と統合する際に役立ちます。Alibaba Cloud には対応する認証ライブラリは存在せず、サードパーティの OAuth/OIDC ライブラリを使用する必要があります。

説明

現在、Alibaba Cloud OpenAPI の一部の操作のみがアクセストークン(Bearer Token)を使用した呼び出しをサポートしています。詳細については、「認証情報」をご参照ください。一方、Azure REST API および Microsoft Graph のすべての操作は、Entra トークンサービスによって発行されたアクセストークンを使用して呼び出します。

主な違い

  • API アーキテクチャ設計:Microsoft Entra では、単一のグローバルエントリポイントを使用します。ID、アプリケーション、ポリシーに関連するすべての呼び出しは、Microsoft Graph API を使用します。一方、Alibaba Cloud RAM では、機能をモジュールに分割する設計を採用しており、以下の 3 つの独立した API エンドポイントを異なるシナリオで使用します:

    • IMS(Identity Management Service):ID エンティティ(ユーザー、グループなど)のライフサイクル管理、SSO 構成、OAuth アプリケーション管理を担当します。

    • RAM(Resource Access Management サービス):ポリシー管理および権限付与構成を担当します。

    • STS(Security Token Service):ロールの引き受けを支援し、一時的なセキュリティ認証情報を発行します。

関連ドキュメント