すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM ユーザーに関するよくある質問

    ドキュメントセンター

    Resource Access Management:RAM ユーザーに関するよくある質問

    最終更新日:Mar 06, 2026

    このトピックでは、Resource Access Management (RAM) ユーザーのログイン、課金、および権限に関するよくある質問とその回答を提供します。

    RAM ユーザーのログイン URL およびログイン名は?

    RAM ユーザーは、以下の URL を使用してログインできます:RAM ユーザーのログイン

    説明

    また、Alibaba Cloud アカウントで RAM コンソール にログインし、概要 ページから RAM ユーザーのログイン URL を確認することもできます。概要ページ上の URL を使用してログインページにアクセスすると、システムが自動的にデフォルトドメイン名を提供します。この場合、ユーザー名のみを入力すればログインできます。

    RAM ユーザーとしてコンソールにログインするには、以下のログイン名のいずれかを使用します:

    • ログイン名 1:デフォルトドメイン名。RAM ユーザーのログイン名の形式は <UserName>@<AccountAlias>.onaliyun.com です(例:username@company-alias.onaliyun.com)。

      説明

      RAM ユーザーのログイン名はユーザープリンシパル名 (UPN) 形式です。RAM コンソールに表示されるすべてのログイン名は、この形式に従います。<UserName> は RAM ユーザーのユーザー名を示します。<AccountAlias>.onaliyun.com はデフォルトドメイン名を示します。詳細については、「用語集」および「RAM ユーザーのログインサフィックスの管理」をご参照ください。

    • ログイン名 2:アカウントエイリアス。RAM ユーザーのログイン名の形式は <UserName>@<AccountAlias> です(例:username@company-alias)。

      説明

      <UserName> は RAM ユーザーのユーザー名を示します。<AccountAlias> はアカウントエイリアスを示します。詳細については、「用語集」および「RAM ユーザーのログインサフィックスの管理」をご参照ください。

    • ログイン名 3:ドメインエイリアス。ドメインエイリアスを設定済みの場合、このログイン名を使用できます。RAM ユーザーのログイン名の形式は <UserName>@<DomainAlias> です(例:username@example.com)。

      説明

      <UserName> は RAM ユーザーのユーザー名を示します。<DomainAlias> はドメインエイリアスを示します。詳細については、「用語集」および「ドメインエイリアスの作成と検証」をご参照ください。

    デフォルトドメイン名およびドメインエイリアスとは?

    デフォルトドメイン名は、Alibaba Cloud アカウントを一意に識別するための識別子です。Alibaba Cloud は各 Alibaba Cloud アカウントに対してデフォルトドメイン名を割り当てます。デフォルトドメイン名の形式は <AccountAlias>.onaliyun.com です。この一意の識別子は、RAM ユーザーのログインおよびシングルサインオン (SSO)に使用できます。デフォルトドメイン名の管理方法については、「RAM ユーザーのログインサフィックスの管理」をご参照ください。

    公開的に解決可能なカスタムドメイン名をお持ちの場合、このドメイン名をデフォルトドメイン名の代わりに使用できます。このようなカスタムドメイン名をドメインエイリアスと呼びます。ドメインエイリアスは、デフォルトドメイン名のエイリアスです。詳細については、「ドメインエイリアスの作成と検証」をご参照ください。

    説明

    カスタムドメインは、所有権の検証が完了した後にのみドメインエイリアスとして使用できます。所有権の検証が完了すると、デフォルトドメイン名が必要なすべてのシナリオにおいて、ドメインエイリアスをデフォルトドメイン名の代わりに使用できます。

    RAM ユーザーが Alibaba Cloud リソースを購入するには、どのような権限が必要ですか?

    • RAM ユーザーが従量課金方式で Alibaba Cloud サービスを購入する場合、インスタンスまたはリソースを作成する権限が必要です。

    • RAM ユーザーがサブスクリプション方式で Alibaba Cloud リソースを購入する場合、インスタンスを作成する権限に加えて、支払いを行う権限も必要です。支払い権限を付与するには、RAM ユーザーに AliyunBSSOrderAccess ポリシーをアタッチする必要があります。

    • RAM ユーザーがリソースを購入する場合、他のリソースの使用または作成が必要になることがあります。この場合、当該リソースの読み取りまたは作成権限が必要です。

      以下は、Elastic Compute Service (ECS) インスタンスの作成に必要な権限を含むポリシーの例です。

      以下のポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは起動テンプレートから ECS インスタンスを作成できます。

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:CreateInstance",
                "ecs:RunInstances",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      RAM ユーザーが ECS インスタンスを作成する際に他のリソースを使用または作成する場合は、特定の権限が必要です。以下の表に、他のリソースに対する操作と必要なポリシーを示します。

      操作

      ポリシー

      スナップショットを使用して ECS インスタンスを作成

      ecs:DescribeSnapshots

      VPC の作成および使用

      • vpc:CreateVpc

      • vpc:CreateVSwitch

      セキュリティグループの作成および使用

      • ecs:CreateSecurityGroup

      • ecs:AuthorizeSecurityGroup

      ECS インスタンスへの RAM ロールの割り当て

      • ecs:DescribeInstanceRamRole

      • ram:ListRoles

      • ram:PassRole

      AccessKey ペアの使用

      • ecs:CreateKeyPair

      • ecs:DescribeKeyPairs

      専用ホスト上での ECS インスタンスの作成

      ecs:AllocateDedicatedHosts

      説明

    必要な権限を付与済みの RAM ユーザーがリソースにアクセスできないのはなぜですか?

    • 権限診断をサポートするクラウドサービスの場合、アクセス権限の問題の原因および解決策を直接確認できます。「アクセス拒否エラーのトラブルシューティング方法」をご参照ください。

    • 権限診断をサポートしないクラウドサービスの場合、以下の表を参照して問題の原因を特定し、トラブルシューティングを行ってください。

      原因

      解決策

      ポリシーが無効です。

      RAM ユーザーにアタッチされたポリシーを確認し、ポリシーが有効であり、業務要件を満たしていることを確認してください。

      カスタムポリシーに Deny ステートメントが設定されています。

      RAM ユーザーにアタッチされたポリシーおよび RAM ユーザーグループにアタッチされたポリシーに、"Effect": "Deny" が設定されており、関連リソースへのアクセスまたは関連操作の実行が拒否されていないかを確認してください。たとえば、RAM ユーザーが ECS インスタンスに対して読み取り専用権限 AliyunECSReadOnlyAccess を持っているにもかかわらず、以下のポリシーも RAM ユーザーにアタッチされている場合、Deny ステートメントが Allow ステートメントよりも優先されるため、RAM ユーザーは ECS インスタンスを表示できません。

      {
    "Statement": [{
        "Action": "ecs:*",
        "Effect": "Deny",
        "Resource": "*"
    }],
    "Version": "1"
}

      リソースが関連する認証方式をサポートしていません。

      認証方式はクラウドサービスによって異なります。リソースでサポートされる認証方式が使用されているかを確認してください。

      • RAM ベースの認証をサポートするサービスについては、「RAM と連携するサービス」をご参照ください。

      • リソースグループベースの認証をサポートするサービスについては、「リソースグループと連携するサービス」をご参照ください。

      • タグベースの認証をサポートするサービスについては、Resource Management コンソール にログインし、左側のナビゲーションウィンドウから タグタグ を選択し、ページ右上隅の タグでサポートされるリソースタイプ をクリックして、タグ Ram サポート の値が サポート であるリソースタイプを確認してください。

      リソースディレクトリのアクセス制御ポリシーにより、リソースへのアクセスが拒否されています。

      RAM ユーザーが所属する Alibaba Cloud アカウントがリソースディレクトリのメンバーである場合、リソースディレクトリに対してリソースへのアクセスを拒否するアクセス制御ポリシーが設定されていると、RAM ユーザーはリソースにアクセスできません。リソースディレクトリの管理アカウントの所有者に連絡し、制御ポリシーの変更またはデタッチを行ってください。

      1. メンバーが所属するリソースディレクトリの管理アカウントを特定します。

        詳細については、「メンバーが所属するリソースディレクトリの情報の表示」をご参照ください。

      2. 管理アカウントの所有者に連絡し、制御ポリシーの変更またはデタッチを行ってください。

        詳細については、「カスタムアクセス制御ポリシーの変更」または「カスタム制御ポリシーのデタッチ」をご参照ください。

    必要な権限を付与していない RAM ユーザーがリソースに対して操作を実行できるのはなぜですか?

    たとえば、AliyunECSFullAccess システムポリシー、AliyunECSReadOnlyAccess システムポリシー、または関連するカスタムポリシーが RAM ユーザーにアタッチされていないにもかかわらず、RAM ユーザーが ECS インスタンスを表示できる場合があります。

    • RAM ユーザーが所属する RAM ユーザーグループにポリシーがアタッチされているかを確認してください。

    • RAM ユーザーにアタッチされた他のポリシーに必要な権限が含まれているかを確認してください。

      たとえば、AliyunCloudMonitorFullAccess システムポリシーは CloudMonitor への完全アクセスを意味します。このポリシーには、以下の権限が含まれています:"ecs:DescribeInstances""rds:DescribeDBInstances"、および "slb:DescribeLoadBalancer"。この AliyunCloudMonitorFullAccess ポリシーが RAM ユーザーにアタッチされている場合、RAM ユーザーは ECS、ApsaraDB RDS、および Server Load Balancer (SLB) インスタンスの情報を表示できます。

    RAM ユーザーに更新管理の権限を付与するには?

    特定のクラウドサービスの更新管理を行うカスタムポリシーを作成し、RAM ユーザーにアタッチする必要があります。すべてのクラウドサービスに共通する更新管理ポリシーは存在しません。RAM ユーザーが更新を管理するには、特定のサービスの購入および支払いを行う権限が必要です。

    たとえば、RAM ユーザーに ECS インスタンスの更新権限を付与するには、以下のカスタムポリシーおよび AliyunBSSOrderAccess システムポリシーを RAM ユーザーにアタッチする必要があります。

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    RAM ユーザーが消費したリソースの課金はどのように行われますか?

    • RAM ユーザーが発生させた料金は、親の Alibaba Cloud アカウントに請求されます。

    • デフォルトでは、RAM ユーザーは親の Alibaba Cloud アカウントに適用される割引を利用できます。

    • 消費予算、信用限度額、支払方法などの財務構成は、Alibaba Cloud アカウントに属するすべての RAM ユーザーに適用されます。個別の RAM ユーザーに適用される財務構成は利用できません。

    • RAM ユーザーは、親の Alibaba Cloud アカウントへの資金追加を許可されることがあります。追加された資金は Alibaba Cloud アカウントに帰属します。

    • RAM ユーザーおよび RAM ユーザーグループは、個別に課金されません。

    RAM 権限が即時に反映されないのはなぜですか?

    RAM は、複数のリージョンおよびゾーンにまたがる高可用性システムを使用しています。信頼性を確保するため、権限データはこれらのリージョン間で複製されます。このプロセスは「最終的一貫性」と呼ばれる原則に従っており、変更がすべての場所で同時に反映されるとは限りません。

    RAM で権限を更新すると、この変更は世界中のすべてのリージョンに配布されます。そのため、新しい権限がすべてのクラウドサービスで認識されるまで、短時間の遅延が発生することがあります。このマルチリージョン設計により、あるゾーンが障害を起こした場合でも、システムが自動的に健全なゾーンに切り替わり、サービスの継続を保証します。