信頼できるエンティティが Alibaba Cloud サービスである Resource Access Management (RAM) ロールは、Alibaba Cloud サービス全体へのアクセスを承認するために使用されます。このタイプの RAM ロールは、信頼できる Alibaba Cloud サービスによって引き受けられます。
サービスロールの種類
サービスにリンクされたロール: 信頼できるサービスを選択するだけで済みます。RAM ロールの名前とポリシーは、サービスによって事前定義されています。サービスにリンクされたロールは、クラウドリソースの作成や機能の有効化など、特定の操作を実行すると自動的に作成されます。RAM コンソールでサービスにリンクされたロールを手動で作成することもできます。詳細については、「サービスにリンクされたロール」をご参照ください。
標準サービスロールの作成
管理者権限を持つ RAM ユーザーとして RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルタイプ] を [クラウドサービス] に設定し、プリンシパル名パラメーターで Alibaba Cloud サービスを選択して、[OK] をクリックします。
説明[プリンシパル名] パラメーターで使用可能な Alibaba Cloud サービスは、RAM コンソールによって異なります。
オプション。Alibaba Cloud アカウントまたは複数の Alibaba Cloud サービスにわたるアクセスを承認する場合は、[ロールの作成] ページの [ポリシーエディターに切り替え] をクリックして、エディターで Alibaba Cloud サービスを指定します。
エディターは、ビジュアルエディターと JSON モードをサポートしています。次の例では、ID が 177*******6878 の別の Alibaba Cloud アカウントの Alibaba Cloud サービス ActionTrail が、作成中の RAM ロールを引き受けて、現在の Alibaba Cloud アカウント内のリソースに対して操作を実行することを承認されています。
ビジュアルエディター
[プリンシパル] 要素に Alibaba Cloud サービスを指定します。
JSON
PrincipalパラメーターのServiceフィールドに Alibaba Cloud サービスを指定します。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "177*******6878@actiontrail.aliyuncs.com" }, "Action": "sts:AssumeRole" } ] }
[ロールの作成] ダイアログボックスで、[ロール名] パラメーターを設定し、[OK] をクリックします。
RAM ロールが作成された後、RAM ロールには権限がありません。RAM ロールに権限を付与できます。詳細については、「RAM ロールへの権限の付与」をご参照ください。
サービスにリンクされたロールの作成
管理者権限を持つ RAM ユーザーとして RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページの右上隅にある [サービスにリンクされたロールの作成] をクリックします。
[サービスにリンクされたロールの作成] ページで、信頼できる Alibaba Cloud サービスを選択し、[サービスにリンクされたロールの作成] をクリックします。
説明[サービスの選択] パラメーターで使用可能な Alibaba Cloud サービスは、RAM コンソールによって異なります。
サービスにリンクされたロールが作成されると、事前定義された名前とポリシーがロールに自動的にアタッチされます。ポリシーは Alibaba Cloud サービスによって定義されます。