すべてのプロダクト
Search

このプロダクト

    Resource Access Management:Alibaba Cloud アカウント間のリソースアクセス

    ドキュメントセンター

    Resource Access Management:Alibaba Cloud アカウント間のリソースアクセス

    最終更新日:Jun 22, 2026

    他の企業にビジネス運用の管理を委任するには、RAM ロールを使用して、ご利用のリソースへのクロスアカウントアクセスを許可します。

    利用シーン

    A 社は、ECS インスタンス、ApsaraDB RDS インスタンス、SLB インスタンス、OSS バケットなど、ビジネスのためにさまざまな Alibaba Cloud リソースを使用しています。 A 社は、以下を望んでいます:

    • リソースの運用管理の責任を B 社に委任する。

    • B 社の従業員の入社または退社時に A 社が権限を管理する必要をなくす。 B 社は、自社の従業員とアプリケーションに、A 社のリソースへの詳細なアクセス権限を個別に付与できる。

    • 契約が終了した場合、いつでも B 社への権限付与を取り消すことができる。

    ソリューション

    A 社が Alibaba Cloud アカウント (アカウント A、A@company-a.onaliyun.com) を持ち、B 社が Alibaba Cloud アカウント (アカウント B、B@company-b.onaliyun.com) を持っていると仮定します。 RAM ロールを使用すると、アカウント B がアカウント A のリソースにアクセスできるようになります。

    • アカウント A で、アカウント B のすべての RAM ID を信頼できるエンティティとして指定する RAM ロールを作成し、その RAM ロールに ECS インスタンスを管理する権限などの適切な権限を付与します。 アカウント B で、RAM ユーザーを作成し、その RAM ユーザーにロールを偽装してアカウント A のリソースにアクセスする権限を付与します。 アカウント A は、RAM ロールの信頼できるエンティティと権限を定義するだけでよく、アカウント B は、どの RAM ユーザーがロールを偽装できるかを管理します。

      詳細については、「Alibaba Cloud アカウント間での権限付与」をご参照ください。

    • A 社と B 社のパートナーシップが終了した場合、アカウント A は、アカウント B が RAM ロールを偽装する権限を取り消すだけで済みます。 取り消された後、アカウント B の RAM ユーザーは、ロールを偽装してアカウント A のリソースにアクセスすることはできなくなります。

      詳細については、「Alibaba Cloud アカウント間での権限の取り消し」をご参照ください。

    Alibaba Cloud アカウント間での権限付与

    1. アカウント A で、アカウント B を信頼できるエンティティとして指定する RAM ロールを作成します。

      1. アカウント A を使用して RAM コンソールにログインします。

      2. ロール ページで、RAM ロールを作成します。

        Principal Typeアカウント を選択します。 Principal Name他のアカウント を選択し、アカウント B の ID を入力します。 詳細については、「信頼できる Alibaba Cloud アカウントの RAM ロールの作成」および「アカウントの基本情報の変更」をご参照ください。

    2. アカウント A から、RAM ロールに権限を付与します。

      ロール ページまたは 許可 ページで、システムポリシーまたはカスタムポリシーを RAM ロールにアタッチします。 最小権限の原則に従い、必要な権限のみを付与する必要があります。 たとえば、RAM ロールに ECS インスタンスを管理させたい場合は、AliyunECSFullAccess システムポリシーをアタッチできます。 詳細については、「RAM ロールの権限の管理」をご参照ください。

    3. アカウント B で、RAM ユーザーを作成します。

      1. アカウント B を使用して RAM コンソールにログインします。

      2. ユーザー ページで、RAM ユーザーを作成します。

        詳細については、「RAM ユーザーの作成」をご参照ください。

    4. アカウント B で、RAM ユーザーにロールを偽装する権限を付与します。

      ユーザー ページまたは 許可 ページで、AliyunSTSAssumeRoleAccess システムポリシーを RAM ユーザーにアタッチします。 詳細については、「RAM ユーザー権限の管理」をご参照ください。

    5. アカウント B の RAM ユーザーは、ロールを引き受けることで、アカウント A の承認されたリソースにアクセスできます。

      次のいずれかの方法でロールを偽装できます:

    Alibaba Cloud アカウント間での権限の取り消し

    アカウント A は、アカウント B による RAM ロールの偽装権限を取り消すことができます。 次のいずれかの方法を選択します。

    • RAM ロールの信頼ポリシーの変更

      1. アカウント A を使用して RAM コンソールにログインします。

      2. ロール ページで、ロールの信頼ポリシーを変更します。

        Principal フィールドを変更して、アカウント B の信頼を取り消します。 詳細については、「RAM ロールの信頼ポリシーの変更」をご参照ください。

        信頼ポリシーは JSON 形式です。 Principal 配下の RAM 配列には、acs:ram::<AccountUID>:root 形式の信頼できるプリンシパルの ARN が含まれています。 信頼を取り消すには、アカウント B に対応する ARN エントリを見つけて削除します。

    • RAM ロールの削除

      1. アカウント A を使用して RAM コンソールにログインします。

      2. ロール ページで、RAM ロールを削除します。

        RAM ロールを削除すると、そのロールにアタッチされている権限も削除されます。 詳細については、「RAM ロールの削除」をご参照ください。