すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM ロールと STS トークンに関するよくある質問

    ドキュメントセンター

    Resource Access Management:RAM ロールと STS トークンに関するよくある質問

    最終更新日:Nov 09, 2025

    このトピックでは、Resource Access Management (RAM) ロールとセキュリティトークンサービス (STS) トークンに関するよくある質問とその回答を紹介します。

    STS の使用時に「You are not authorized to do this action. You should be authorized by RAM.」というエラーメッセージが表示されるのはなぜですか。

    AssumeRole 操作を呼び出して STS トークンを取得する際に、次のエラーメッセージが返されることがあります。

    Error message: You are not authorized to do this action. You should be authorized by RAM.

    エラーのトラブルシューティングについては、次の情報をご参照ください。

    • Alibaba Cloud アカウントを使用して操作を呼び出している。

      AssumeRole 操作は Alibaba Cloud アカウントでは呼び出せません。この操作を呼び出すには、RAM ユーザーまたは RAM ロールを使用する必要があります。

    • 呼び出しを開始した RAM ユーザーまたは RAM ロールに、STS を介してロールを偽装するために必要な権限ポリシーがない。

      呼び出しを開始する RAM ユーザーまたは RAM ロールに、システムポリシー (AliyunSTSAssumeRoleAccess) またはカスタムポリシーをアタッチする必要があります。カスタムポリシーの例については、「ポリシーの例」をご参照ください。

    • 偽装する RAM ロールの信頼ポリシーに、呼び出しを開始している RAM ユーザーまたは RAM ロールが含まれていない。

      偽装する RAM ロールの信頼ポリシーを変更して、RAM ユーザーまたは RAM ロールがこの RAM ロールを偽装できるようにする必要があります。詳細については、「RAM ロールの信頼ポリシーを編集する」をご参照ください。

    AssumeRole 操作を呼び出すことができるのは誰ですか。

    AssumeRole 操作は、STS トークンを取得して RAM ロールを偽装するために使用されます。この操作を呼び出すことができるのは、RAM ユーザーまたは RAM ロールのみです。Alibaba Cloud アカウントはこの操作を呼び出すことはできません。

    RAM ロールにはどのような種類がありますか。これらのロールを偽装できるエンティティは何ですか。

    RAM のさまざまな信頼できるエンティティに基づいて、次の 3 種類の RAM ロールがサポートされています。

    • 信頼できるエンティティが Alibaba Cloud アカウントである RAM ロール: Alibaba Cloud アカウント内の RAM ユーザーまたは RAM ロールがこのタイプのロールを偽装できます。このタイプのロールを偽装する RAM ユーザーまたは RAM ロールは、そのオーナーである Alibaba Cloud アカウントまたは他の Alibaba Cloud アカウントに属することができます。このタイプの RAM ロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。

    • 信頼できるエンティティが Alibaba Cloud サービスである RAM ロール: Alibaba Cloud サービスがこのタイプの RAM ロールを偽装できます。信頼できる Alibaba Cloud サービスが偽装できる RAM ロールは、通常のサービスロールとサービスリンクロールの 2 種類に分類されます。サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。このタイプの RAM ロールは、Alibaba Cloud サービス間のアクセスを承認するために使用されます。

    • 信頼できるエンティティが ID プロバイダー (IdP) である RAM ロール: 信頼できる IdP のユーザーがこのタイプの RAM ロールを偽装できます。このタイプの RAM ロールは、Alibaba Cloud と信頼できる IdP の間でロールベースのシングルサインオン (SSO) を実装するために使用されます。

    特定の RAM ユーザーが特定の RAM ロールを偽装するように制限するにはどうすればよいですか。

    1. RAM ロールの信頼ポリシーを変更します。

      RAM ロールの信頼ポリシーで、Principal を使用してこのロールを偽装できる RAM ユーザーを指定します。ポリシーでは、<account-id> は Alibaba Cloud アカウント ID を指定し、<user-name> は RAM ユーザー名を指定します。詳細については、「RAM ロールの信頼ポリシーを編集する」をご参照ください。

      信頼ポリシーの例:

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::<account-id>:user/<user-name>"
                ]
            }
        }
    ],
    "Version": "1"
}

    2. RAM ユーザーにロールを偽装する権限を付与します。

      RAM ユーザーにシステムポリシー (AliyunSTSAssumeRoleAccess) またはカスタムポリシーを付与します。カスタムポリシーを使用すると、偽装できるロールの範囲をさらに絞り込むことができます。

      カスタムポリシーで、Resource を使用して偽装できる RAM ロールの ARN を指定します。ポリシーでは、<account-id> は Alibaba Cloud アカウント ID を指定し、<role-name> は RAM ロール名を指定します。詳細については、「カスタムポリシーの作成」および「RAM ユーザーへの権限付与」をご参照ください。

      ポリシーの例:

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "acs:ram:*:<account-id>:role/<role-name>"
        }
    ],
    "Version": "1"
}

    RAM ロールの ARN を表示するにはどうすればよいですか。

    1. RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. 対象の RAM ロールの名前をクリックします。

    4. [基本情報] セクションで、RAM ロールの ARN を表示します。 RAM角色ARN

    STS API リクエストの数に制限はありますか。

    AssumeRole 操作は、1 秒あたり最大 100 回呼び出すことができます。この制限は、Alibaba Cloud アカウントと、そのアカウント内のすべての RAM ユーザーおよび RAM ロールで共有されます。

    API リクエストの数が上限を超えると、次のいずれかのエラーメッセージが返されます。

    • エラーメッセージ

      エラーコード

      エラーメッセージ

      Throttling.Api

      Request was denied due to api flow control.

      Throttling.User

      Request was denied due to user flow control.

      Throttling

      Request was denied due to flow control.

    • HTTP ステータスコード 302

    上記のエラーメッセージのいずれかが返された場合は、同時 API 呼び出しの数を減らす必要があります。ビジネスシナリオでより高い同時呼び出しレートが必要な場合は、チケットを起票してクォータの引き上げをリクエストできます。

    STS トークンの権限は何ですか。

    AssumeRole STS トークンの権限は、指定された RAM ロールの権限と、AssumeRole 操作を呼び出すときに Policy パラメーターで指定された権限の共通部分です。

    説明

    AssumeRole 操作を呼び出すときに Policy パラメーターを指定しない場合、返される STS トークンは、指定された RAM ロールのすべての権限を持ちます。

    STS トークンの有効期間はどのくらいですか。

    STS トークンの有効期間は 900 秒から指定した最大セッション期間までの範囲です。デフォルトの有効期間は 3,600 秒です。

    説明

    • AssumeRole 操作の DurationSeconds パラメーターを使用して、STS トークンの有効期間を指定できます。

    • RAM コンソールを使用するか、API を呼び出して、RAM ロールの最大セッション期間を設定できます。詳細については、「RAM ロールの最大セッション期間を指定する」をご参照ください。

    異なる時点で複数の STS トークンを取得した場合、古いトークンと新しいトークンは同時に有効ですか。

    すべての STS トークンは、新しい STS トークンが作成されたかどうかに関係なく、有効期限が切れるまで有効です。

    STS トークンが漏洩した場合はどうすればよいですか。

    RAM ユーザーが RAM ロールを偽装した後に取得した STS トークンが漏洩した場合は、次のステップを実行して STS トークンを無効にします。

    1. RAM コンソールにログインします。

    2. RAM ロールからすべてのポリシーをデタッチします。

      詳細については、「RAM ロールから権限を取り消す」をご参照ください。

    3. RAM ロールを削除します。

      詳細については、「RAM ロールを削除する」をご参照ください。

      RAM ロールが削除されると、この RAM ロールを偽装して取得された、まだ有効期限が切れていないすべての STS トークンは直ちに無効になります。

    この RAM ロールを引き続き使用する必要がある場合は、同じ名前で新しいロールを作成し、同じポリシーをアタッチして、新しく作成された RAM ロールでタスクを続行できます。

    STS トークンの最大長はどのくらいですか。

    Alibaba Cloud STS は、STS トークンの長さに制限を課していません。STS トークンの最大長を指定しないことを強くお勧めします。