RAM ロールの権限を付与、表示、取り消します。
制限事項
-
サービスリンクロールの権限は、関連付けられたクラウドサービスによって事前定義されており、変更することはできません。サービスリンクロールの権限を手動で追加または削除することはできません。
-
RAM ロールにアタッチできるポリシー (システムポリシーとカスタムポリシー) の数は、制限事項の対象となります。
RAM ロールへの権限付与
コンソール
システムポリシーの AliyunRAMFullAccess が必要です。
コンソールには複数のエントリポイントが用意されています。
|
エントリポイント |
ユースケース |
一括操作のサポート |
|
[アイデンティティ] > [ロール] ページ |
1 つ以上の RAM ロールに同じ権限を付与します。 |
はい |
|
[権限] > [権限付与] ページ |
複数のプリンシパル (ユーザー、ユーザーグループ、ロール) に一度に同じ権限を付与します。 |
はい |
[ロール] ページから
-
RAM 管理者として RAM コンソールにログインします。
-
ナビゲーションペインで、 を選択します。
-
ロール ページで、対象の RAM ロールを見つけ、操作 列の 権限の付与 をクリックします。
複数の RAM ロールを選択し、ロールリストの下部にある 権限の付与 をクリックして、権限を一括で付与することもできます。
-
権限の付与 パネルで、RAM ロールに権限を付与します。
-
リソーススコープを選択します。
-
[Account]: 現在の Alibaba Cloud アカウント内で権限が適用されます。
-
[ResourceGroup]: 指定されたリソースグループ内で権限が適用されます。
説明リソースグループレベルの権限では、クラウドサービスとリソースタイプの両方がリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするクラウドサービス」をご参照ください。
-
-
プリンシパルを選択します。
システムは、現在の RAM ロールをプリンシパルとして自動的に選択します。
-
ポリシーを選択します。
アタッチするポリシーを 1 つ以上選択します。
-
システムポリシー: Alibaba Cloud によって事前定義されており、変更することはできません。サービスごとに利用可能なポリシーは、「RAM と連携するクラウドサービス」にリストされています。
説明コンソールは、
AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーにフラグを立てます。これらは、必要でない限りアタッチしないでください。 -
カスタムポリシー: ユーザーが定義および管理します。詳細については、「カスタムポリシーの作成」をご参照ください。
-
-
Grant permissions をクリックします。
-
-
close をクリックします。
[権限付与] ページから
-
RAM 管理者として RAM コンソールにログインします。
-
ナビゲーションペインで、 を選択します。
-
許可 ページで、権限の付与 をクリックします。
-
権限の付与 パネルで、RAM ロールに権限を付与します。
-
リソーススコープを選択します。
-
[Account]: 現在の Alibaba Cloud アカウント内で権限が適用されます。
-
[ResourceGroup]: 指定されたリソースグループ内で権限が適用されます。
説明リソースグループレベルの権限では、クラウドサービスとリソースタイプの両方がリソースグループをサポートしている必要があります。詳細については、「リソースグループをサポートするクラウドサービス」をご参照ください。
-
-
プリンシパルを選択します。
権限を付与する RAM ロールを選択します。
-
ポリシーを選択します。
アタッチするポリシーを 1 つ以上選択します。
-
システムポリシー: Alibaba Cloud によって事前定義されており、変更することはできません。サービスごとに利用可能なポリシーは、「RAM と連携するクラウドサービス」にリストされています。
説明コンソールは、
AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーにフラグを立てます。これらは、必要でない限りアタッチしないでください。 -
カスタムポリシー: ユーザーが定義および管理します。詳細については、「カスタムポリシーの作成」をご参照ください。
-
-
Grant permissions をクリックします。
-
-
close をクリックします。
API
AttachPolicyToRole API を呼び出して、ポリシーを RAM ロールにアタッチします。必須パラメーターは次のとおりです。
-
PolicyType: ポリシータイプ。有効な値:SystemおよびCustom。大文字と小文字を区別します。 -
PolicyName: アタッチするポリシーの正確な名前。 -
RoleName: RAM ロールの名前。
AttachPolicyToRole は、Alibaba Cloud アカウントレベルでのみ権限を付与します。リソースグループレベルの権限を付与するには、リソース管理の「RAM アイデンティティへの権限付与」を使用します。
RAM ロールの権限の表示
システムポリシーの AliyunRAMReadOnlyAccess が必要です。
コンソール
-
RAM 管理者として RAM コンソールにログインします。
-
ナビゲーションペインで、 を選択します。
-
ロール ページで、対象の RAM ロールの名前をクリックします。
-
権限管理 タブで、ロールにアタッチされているポリシーを確認します。
API
ListPoliciesForRole API を呼び出して、RAM ロールにアタッチされているポリシーをリスト表示します。必須パラメーターは次のとおりです。
RoleName: RAM ロールの名前です。
RAM ロールからの権限の取り消し
システムポリシーの AliyunRAMFullAccess が必要です。
コンソール
以下のいずれかの方法で、RAM ロールから権限を取り消します。
[ロール] ページから
-
RAM 管理者として RAM コンソールにログインします。
-
ナビゲーションペインで、 を選択します。
-
ロール ページで、対象の RAM ロールの名前をクリックします。
-
権限管理 タブで対象のポリシーを見つけ、操作 列の 権限剥奪 をクリックします。
複数のポリシーを選択し、ポリシーリストの下部にある 権限剥奪 をクリックして、複数の権限を一括で取り消すこともできます。
-
権限剥奪 ダイアログボックスで、権限剥奪 をクリックします。
[権限付与] ページから
-
RAM 管理者として RAM コンソールにログインします。
-
ナビゲーションペインで、 を選択します。
-
許可 ページで、対象の RAM ロールを見つけ、操作 列の 権限剥奪 をクリックします。
複数の RAM ロールを選択し、下部にある [権限を取り消す] をクリックして、権限を一括で取り消すこともできます。
-
権限剥奪 ダイアログボックスで、権限剥奪 をクリックします。
API
DetachPolicyFromRole API を呼び出して、RAM ロールからポリシーをデタッチします。必須パラメーターは次のとおりです。
-
PolicyType: ポリシータイプ。有効な値:SystemおよびCustom。大文字と小文字を区別します。 -
PolicyName: デタッチするポリシーの正確な名前。 -
RoleName: RAM ロールの名前。