信頼できるエンティティが Alibaba Cloud アカウントである Resource Access Management (RAM) ロールは、アカウント間のアクセスと一時的な権限付与を実装するために使用されます。 RAM ロールは、信頼できる Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールによって引き受けることができます。
手順
管理者権限を持つ RAM ユーザーとして RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 の順に選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルの種類] パラメーターを [クラウドアカウント] に設定し、Alibaba Cloud アカウントを指定して、[OK] をクリックします。
[現在のアカウント]: ご自身の Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを引き受けてもらう場合は、[現在のアカウント] を選択します。
[その他のアカウント]: 別の Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールに RAM ロールを引き受けてもらう場合は、[その他のアカウント] を選択し、Alibaba Cloud アカウントの ID を入力します。このオプションは、異なる Alibaba Cloud アカウントに属するリソースに対する権限を付与するために提供されています。詳細については、「RAM ロールを使用して Alibaba Cloud アカウント間で権限を付与する」をご参照ください。Alibaba Cloud アカウントの ID は、[セキュリティ設定] ページで確認できます。
オプション。信頼できる Alibaba Cloud アカウントに属する特定の RAM ユーザーまたは RAM ロールのみが RAM ロールを引き受けることができるようにするには、[ポリシーエディターに切り替え] をクリックし、エディターで RAM ロールの信頼ポリシーを変更します。
エディターには、ビジュアルエディターとスクリプトエディターの 2 つのモードがあります。 どちらのモードも使用できます。 次の例では、現在の Alibaba Cloud アカウント (ID: 100******0719) の RAM ユーザー
Aliceのみがこの RAM ロールを Assume できるようにする方法を示します。ビジュアルエディター
[プリンシパル] 要素に RAM ユーザーを指定します。
スクリプトエディター
PrincipalセクションのRAMフィールドに RAM ユーザーを指定します。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Principal": { "RAM": "acs:ram::100******0719:user/Alice" }, "Action": "sts:AssumeRole" } ] }
[ロールの作成] ダイアログボックスで、[ロール名] パラメーターを設定し、[OK] をクリックします。
次の手順
RAM ロールに権限を付与します。
RAM ロールの作成後、RAM ロールには権限がありません。 RAM ロールに権限を付与できます。詳細については、「RAM ロールに権限を付与する」をご参照ください。
RAM ロールを引き受けます。
信頼できる Alibaba Cloud アカウントに属する RAM ユーザーまたは RAM ロールとして、Alibaba Cloud 管理コンソールまたは RAM API を使用して RAM ロールを Assume し、Security Token Service (STS) トークンを取得して関連するクラウドリソースにアクセスできます。 詳細については、「RAM ロールの Assume」をご参照ください。