すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM ユーザーに関するよくある質問

    ドキュメントセンター

    Resource Access Management:RAM ユーザーに関するよくある質問

    最終更新日:Nov 09, 2025

    このトピックでは、Resource Access Management (RAM) ユーザーに関するよくある質問 (ログイン、課金、権限に関する質問など) に回答します。

    RAM ユーザーのログイン URL とログイン方法について

    RAM ユーザーのログイン URL: RAM ユーザーログイン URL

    説明

    Resource Access Management (RAM) コンソールにログインできます。[概要] ページで、RAM ユーザーのログイン URL を確認できます。この URL を使用してログインすると、システムによってデフォルトのドメイン名が自動的に入力されます。RAM ユーザー名を入力するだけで済みます。

    RAM ユーザーは、次の方法でログインできます:

    • 方法 1: デフォルトのドメイン名を使用してログインします。RAM ユーザーのログイン名は、<UserName>@<AccountAlias>.onaliyun.com のフォーマットです。例: username@company-alias.onaliyun.com。

      説明

      RAM ユーザーのログイン名は、ユーザープリンシパル名 (UPN) 形式です。これは、RAM コンソールのユーザーリストに表示されるログイン名です。<UserName> は RAM ユーザー名で、<AccountAlias>.onaliyun.com はデフォルトのドメイン名です。デフォルトのドメイン名の詳細については、「用語」および「デフォルトドメイン名の表示と変更」をご参照ください。

    • 方法 2: アカウントエイリアスを使用してログインします。RAM ユーザーのログイン名は、<UserName>@<AccountAlias> のフォーマットです。例: username@company-alias。

      説明

      <UserName> は RAM ユーザー名で、<AccountAlias> はアカウントエイリアスです。アカウントエイリアスの詳細については、「用語」および「デフォルトドメイン名の表示と変更」をご参照ください。

    • 方法 3: ドメインエイリアスを作成した場合、それを使用してログインすることもできます。RAM ユーザーのログイン名は、<UserName>@<DomainAlias> のフォーマットです。例: username@example.com。

      説明

      <UserName> は RAM ユーザー名で、<DomainAlias> はドメインエイリアスです。ドメインエイリアスの詳細については、「用語」および「ドメインエイリアスの作成と検証」をご参照ください。

    デフォルトのドメイン名とドメインエイリアスとは何ですか?

    Alibaba Cloud は、各 Alibaba Cloud アカウントにデフォルトのドメイン名を割り当てます。フォーマットは <AccountAlias>.onaliyun.com です。デフォルトのドメイン名は、RAM ユーザーのログイン やシングルサインオン (SSO) などのシナリオで Alibaba Cloud アカウントの一意の識別子として機能します。デフォルトのドメイン名を設定する方法の詳細については、「デフォルトドメイン名の表示と変更」をご参照ください。

    インターネット上で解決できるドメイン名をお持ちの場合は、それをドメインエイリアスとして使用して、デフォルトのドメイン名を置き換えることができます。ドメインエイリアスは、デフォルトのドメイン名のエイリアスです。ドメインエイリアスを設定する方法の詳細については、「ドメインエイリアスの作成と検証」をご参照ください。

    説明

    ドメインエイリアスを使用する前に、その所有権を検証する必要があります。所有権の検証に成功すると、該当するすべてのシナリオで、デフォルトのドメイン名の代わりにドメインエイリアスを使用できます。

    RAM ユーザーが Alibaba Cloud プロダクトを購入するために必要な権限は何ですか?

    • 従量課金の Alibaba Cloud プロダクトを購入するには、通常、特定のプロダクトのインスタンスまたはリソースを作成する権限を RAM ユーザーに付与するだけで済みます。

    • サブスクリプションの Alibaba Cloud プロダクトを購入するには、注文の支払い権限も付与する必要があります。これは、RAM ユーザーに AliyunBSSOrderAccess ポリシーを付与することを意味します。

    • 一部の Alibaba Cloud プロダクトを購入する際に、他のリソースを使用または作成する必要がある場合があります。この場合、RAM ユーザーはこれらのリソースを読み取るか作成する権限を持っている必要があります。

      次の例は、ECS インスタンスの作成に必要な権限を示しています。

      次のアクセスポリシーにより、RAM ユーザーは起動テンプレートから ECS インスタンスを作成できます:

      {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:CreateInstance",
                "ecs:RunInstances",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      RAM ユーザーが ECS インスタンスの作成中に他のリソースを使用または作成する必要がある場合は、リソースタイプに応じて、次の表に示す権限も付与する必要があります。

      操作

      アクセスポリシー

      スナップショットから ECS インスタンスを作成する

      ecs:DescribeSnapshots

      新しい VPC を同時に作成して使用する

      • vpc:CreateVpc

      • vpc:CreateVSwitch

      新しいセキュリティグループを同時に作成して使用する

      • ecs:CreateSecurityGroup

      • ecs:AuthorizeSecurityGroup

      インスタンスロールを指定する

      • ecs:DescribeInstanceRamRole

      • ram:ListRoles

      • ram:PassRole

      キーペアを使用する

      • ecs:CreateKeyPair

      • ecs:DescribeKeyPairs

      専用ホストで ECS インスタンスを作成する

      ecs:AllocateDedicatedHosts

      説明

    権限を付与された後も RAM ユーザーにアクセス権限がないのはなぜですか?

    • 権限診断をサポートする Alibaba Cloud サービスの場合、アクセス拒否の理由と推奨されるソリューションを直接表示できます。詳細については、「権限不足を示すアクセスエラーのトラブルシューティング方法」をご参照ください。

    • 権限診断をサポートしていない Alibaba Cloud サービスの場合、次の表に基づいて原因を分析し、問題を解決できます。

      原因

      解決策

      アクセスポリシーが正しくありません。

      RAM ユーザーのアクセスポリシーを確認して、それが正しく、期待どおりであることを確認してください。

      拒否ポリシーがカスタムポリシーで設定されています。

      RAM ユーザーのアクセスポリシーまたはユーザーが所属する RAM ユーザーグループのアクセスポリシーに、関連するリソースまたは操作に対して "Effect": "Deny" を含むステートメントが含まれているかどうかを確認します。たとえば、RAM ユーザーが ECS への読み取り専用アクセスを許可する AliyunECSReadOnlyAccess 権限を持っているとします。ただし、ユーザーに次のアクセスポリシーもアタッチされている場合、RAM では拒否ステートメントが優先されるため、ユーザーは ECS リソースを表示できません。

      {
    "Statement": [{
        "Action": "ecs:*",
        "Effect": "Deny",
        "Resource": "*"
    }],
    "Version": "1"
}

      リソースが認証方式をサポートしていません。

      Alibaba Cloud サービスによってサポートされる認証方式は異なります。サポートされている認証方式を確認して使用してください。

      ユーザーがリソースディレクトリのコントロールポリシーの影響を受けています。

      RAM ユーザーが所属する Alibaba Cloud アカウントがリソースディレクトリのメンバーである場合、ユーザーはコントロールポリシーの影響を受ける可能性があります。リソースへのアクセスを拒否するコントロールポリシーがリソースディレクトリで有効になっている場合、RAM ユーザーはそのリソースにアクセスできません。この場合、リソースディレクトリの管理アカウントに連絡して、コントロールポリシーを変更またはデタッチする必要があります。次のステップを実行します:

      1. メンバーが所属するリソースディレクトリの管理アカウントを特定します。

        詳細については、「メンバーが所属するリソースディレクトリの情報を表示する」をご参照ください。

      2. 管理アカウントに連絡して、コントロールポリシーを変更またはデタッチします。

        詳細については、「カスタムコントロールポリシーの変更」または「カスタムコントロールポリシーのデタッチ」をご参照ください。

    RAM ユーザーが必要な権限なしで操作を実行できるのはなぜですか?

    たとえば、RAM ユーザーは ECS の AliyunECSFullAccess または AliyunECSReadOnlyAccess システムポリシーを持っておらず、カスタムポリシーもアタッチされていません。しかし、ユーザーはインスタンスリストを表示できます。

    • RAM ユーザーが所属するユーザーグループのアクセスポリシーに、操作を許可する権限が含まれているかどうかを確認します。

    • RAM ユーザーにすでに付与されている他のアクセスポリシーに関連する権限が含まれているかどうかを確認します。

      たとえば、CloudMonitor のシステムポリシーは AliyunCloudMonitorFullAccess です。このポリシーには、ECS インスタンスのリスト ("ecs:DescribeInstances")、RDS インスタンスのリスト ("rds:DescribeDBInstances")、および SLB インスタンスのリスト ("slb:DescribeLoadBalancer") を表示する権限が含まれています。AliyunCloudMonitorFullAccess ポリシーが RAM ユーザーに付与されると、ユーザーは ECS、RDS、SLB などのプロダクトのインスタンス情報を表示できます。

    更新を個別に管理する権限を RAM ユーザーに付与するにはどうすればよいですか?

    現在、更新管理のための統一されたアクセスポリシーはありません。特定の Alibaba Cloud プロダクトに対してカスタムアクセスポリシーを作成する必要があります。通常、プロダクトの購入と注文の支払いに必要な権限を RAM ユーザーに付与する必要があります。

    たとえば、ECS インスタンスの更新を管理する権限を RAM ユーザーに付与するには、次のカスタムアクセスポリシーと AliyunBSSOrderAccess システムポリシーをユーザーに付与する必要があります。

    {
    "Version": "1",
    "Statement": [{
            "Action": [
                "ecs:DescribeLaunchTemplates",
                "ecs:RenewInstance",
                "ecs:DescribeInstances",
                "ecs:DescribeImages",
                "ecs:DescribeSecurityGroups"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

    RAM ユーザーが使用するリソースの料金はどのように計算されますか?

    • RAM ユーザーが使用したリソースの料金は、そのユーザーが所属する Alibaba Cloud アカウントに請求されます。

    • RAM ユーザーは、Alibaba Cloud アカウントが利用できる割引を自動的に受け取ります。特別な設定は必要ありません。

    • 支出クォータ、与信限度額、独立した支払方法などの財務属性は、Alibaba Cloud アカウント内のグローバル設定であり、すべての RAM ユーザーに影響します。これらの設定を個々の RAM ユーザーに対して構成することはできません。

    • RAM ユーザーには、アカウント残高をチャージする権限を付与できます。チャージ額は Alibaba Cloud アカウントに入金されます。

    • RAM ユーザーまたは RAM ユーザーグループを、課金のための独立したコストセンターとして使用することはできません。

    RAM の権限付与が Alibaba Cloud サービスですぐに有効にならないのはなぜですか?

    RAM は、複数のリージョンとゾーンにまたがってデプロイされる高可用性 (HA) アーキテクチャを使用します。データは、結果整合性の原則に基づいて、異なるリージョン間で複製されます。RAM で権限を付与すると、権限付情報が世界中のすべてのリージョンに同期および分散され、すべての Alibaba Cloud サービスに認証を提供します。ゾーンが利用できなくなった場合、RAM の HA およびディザスタリカバリメカニズムは、別のアクティブなゾーンに切り替わります。