Alibaba Cloud アカウント間でアクセスを委任するための RAM ロール作成 - RAM

Resource Access Management (RAM) ロールを作成して、別の信頼できる Alibaba Cloud アカウントのユーザーやロールに権限を委任できます。これにより、長期的な認証情報を共有することなく、リソースへのクロスアカウントアクセスを許可できます。

操作手順

RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルタイプ] を [Alibaba Cloud アカウント] に設定します。信頼できるアカウントを設定し、[OK] をクリックします。
[プリンシパル名] については、次のいずれかを選択します。
- 現在のアカウント: 現在のアカウント内のすべての RAM ユーザーとロールがこのロールを偽装できるようになります。
- [その他の Alibaba Cloud アカウント]：別の Alibaba Cloud アカウントの RAM ユーザーとロールがこのロールを偽装することを許可します。信頼できるアカウントの ID を入力します。アカウント ID はセキュリティ設定ページで確認できます。クロスアカウントアクセスの詳細については、「Alibaba Cloud アカウント間でのリソースへのアクセス」をご参照ください。
(任意) 信頼ポリシーを調整し、特定のプリンシパルのみがロールを偽装できるようにするには、[ポリシーエディターに切り替え] をクリックします。
次の JSON の例では、信頼ポリシーを変更して、アカウント 100******0719 の RAM ユーザー Alice のみがロールを偽装できるようにします。
- ビジュアルエディター
  [プリンシパル] セクションで、RAM ユーザーを指定します。
- JASON Editor
  Principal 要素の RAM フィールドで、RAM ユーザーを指定します。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::100******0719:user/Alice"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
[ロールの作成] ダイアログボックスで、[ロール名] を入力し、[OK] をクリックします。

次のステップ

RAM ロールへの権限付与。
新しく作成されたロールには権限がありません。ロールを使用する前に、権限ポリシーをアタッチする必要があります。
RAM ロールの使用。
信頼できるアカウントのプリンシパル (RAM ユーザーまたはロール) は、このロールを偽装できるようになります。ロールを偽装するには、コンソールを使用するか、AssumeRole API オペレーションを呼び出してセキュリティトークンサービス (STS) から一時的な認証情報を取得します。これらの認証情報を使用して、承認されたリソースにアクセスできます。詳細については、「RAM ロールを偽装する」をご参照ください。