信頼できる Alibaba Cloud アカウントの RAM ロールの作成 - Resource Access Management

信頼できるエンティティが Alibaba Cloud アカウントである Resource Access Management (RAM) ロールは、アカウント間のアクセスと一時的な権限付与を実装するために使用されます。 RAM ロールは、信頼できる Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールによって引き受けることができます。

手順

管理者権限を持つ RAM ユーザーとして RAM コンソールにログオンします。
左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルの種類] パラメーターを [クラウドアカウント] に設定し、Alibaba Cloud アカウントを指定して、[OK] をクリックします。
- [現在のアカウント]: ご自身の Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを引き受けてもらう場合は、[現在のアカウント] を選択します。
- [その他のアカウント]: 別の Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを引き受けてもらう場合は、[その他のアカウント] を選択し、Alibaba Cloud アカウントの ID を入力します。このオプションは、異なる Alibaba Cloud アカウントに属するリソースに対する権限を付与するために提供されています。詳細については、「RAM ロールを使用して Alibaba Cloud アカウント間で権限を付与する」をご参照ください。Alibaba Cloud アカウントの ID は、[セキュリティ設定] ページで確認できます。
オプション。信頼できる Alibaba Cloud アカウントに属する特定の RAM ユーザーまたは RAM ロールのみが RAM ロールを引き受けることができるようにするには、[ポリシーエディターに切り替え] をクリックし、エディターで RAM ロールの信頼ポリシーを変更します。
エディターは、ビジュアルエディターと JSON モードをサポートしています。次の例では、ID が 100******0719 の Alibaba Cloud アカウント内の RAM ユーザー Alice のみが RAM ロールを引き受けることができます。
- ビジュアルエディター
  [プリンシパル] 要素に RAM ユーザーを指定します。
- JSON
  Principal パラメーターの RAM フィールドに RAM ユーザーを指定します。
```
{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "RAM": "acs:ram::100******0719:user/Alice"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```
[ロールの作成] ダイアログボックスで、[ロール名] パラメーターを設定し、[OK] をクリックします。

次の手順

RAM ロールに権限を付与します。
RAM ロールの作成後、RAM ロールには権限がありません。 RAM ロールに権限を付与できます。詳細については、「RAM ロールに権限を付与する」をご参照ください。
RAM ロールを引き受けます。
Alibaba Cloud 管理コンソールまたは RAM API を使用して、信頼できる Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールとして RAM ロールを引き受け、セキュリティトークンサービス (STS) トークンを取得して、関連するクラウドリソースにアクセスできます。詳細については、「RAM ロールを引き受ける」をご参照ください。