この Topic では、マルチアカウントシナリオにおける CloudSSO を使用した ID と権限管理について説明します。
Resource Access Management (RAM) を使用すると、1 つの Alibaba Cloud アカウント内で、権限の管理、ID の管理、およびシングルサインオン (SSO) の構成ができます。ID には、RAM ユーザー、RAM ユーザーグループ、または RAM ロールが含まれます。
企業向けに作成された Alibaba Cloud アカウントが少数である場合、RAM を使用して、Alibaba Cloud アカウントの ID と権限を効率的に管理できます。しかし、企業向けに多数の Alibaba Cloud アカウントが作成されている場合、RAM の使用は非効率になる可能性があります。これは、各 Alibaba Cloud アカウント内で ID と権限を管理し、SSO を構成する必要があるためです。この場合、CloudSSO を使用することをお勧めします。
CloudSSO は Alibaba Cloud リソースディレクトリと統合されており、統一されたマルチアカウントの ID 管理とアクセスの制御を提供します。CloudSSO でのみ設定を構成できます。構成後、複数の Alibaba Cloud アカウントの ID と権限を管理して、一元的な方法で SSO アクセスを実装できます。ID と権限を一元的に管理するには、CloudSSO ディレクトリを使用できます。CloudSSO は RAM から独立していますが、RAM のシステムポリシーとカスタムポリシーの構文を使用して権限を管理します。CloudSSO ユーザーがリソースディレクトリのアカウントにアクセスすると、ユーザーはそのアカウントの RAM ロールを偽装して SSO アクセスを実装します。詳細については、「CloudSSO とは」をご参照ください。
CloudSSO と RAM は互いに干渉しません。CloudSSO と RAM は両方同時に使用できます。特定の要件に基づいて選択する必要があります。