すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM ロールの概要

    ドキュメントセンター

    Resource Access Management:RAM ロールの概要

    最終更新日:Nov 09, 2025

    このトピックでは、Resource Access Management (RAM) ロールの定義、分類、シナリオ、および基本的な概念について説明します。 また、RAM ロールの使用プロセスと制限についても説明します。

    RAM ロールとは

    RAM ロールとは、ポリシーをアタッチできる仮想 ID です。 RAM ユーザーとは異なり、RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な ID 資格情報がありません。 RAM ロールは、信頼できるエンティティがロールをアタッチした後にのみ使用できます。 信頼できるエンティティが RAM ロールをアタッチした後、信頼できるエンティティは Security Token Service (STS) トークンを取得し、STS トークンを使用して RAM ロールとして Alibaba Cloud リソースにアクセスできます。

    RAM ロールの種類

    RAM ロールは、信頼できるエンティティに基づいて次の種類に分類されます。

    • 信頼できるエンティティが Alibaba Cloud アカウントである RAM ロール: Alibaba Cloud アカウント内の RAM ユーザーまたは RAM ロールはこの種類のロールをアタッチできます。 この種類のロールをアタッチする RAM ユーザーまたは RAM ロールは、所有者の Alibaba Cloud アカウントまたは他の Alibaba Cloud アカウントに属することができます。 この種類の RAM ロールは、アカウント間のアクセスと一時的な承認に使用されます。

    • 信頼できるエンティティが Alibaba Cloud サービスである RAM ロール: Alibaba Cloud サービスはこの種類の RAM ロールをアタッチできます。 信頼できる Alibaba Cloud サービスがアタッチできる RAM ロールは、通常のサービスロールとサービスリンクロールの 2 つの種類に分類されます。 サービスリンクロールの詳細については、「サービスリンクロール」をご参照ください。 この種類の RAM ロールは、Alibaba Cloud サービス間のアクセスを承認するために使用されます。

    • 信頼できるエンティティが ID プロバイダー (IdP) である RAM ロール: 信頼できる IdP のユーザーはこの種類の RAM ロールをアタッチできます。 この種類の RAM ロールは、Alibaba Cloud と信頼できる IdP 間のロールベースのシングルサインオン (SSO) を実装するために使用されます。

    シナリオ

    • 一時的なアクセスを承認する

      ほとんどの場合、AccessKey ペアの漏洩を防ぐために、サーバー上で API 操作を呼び出すことを推奨します。ただし、一部のシナリオでは、サーバーを使用したリソース転送によって発生するオーバーヘッドを防ぐために、クライアントから直接ファイルをアップロードすることを推奨します。この場合、サーバーは STS トークンを発行し、クライアントはその STS トークンを使用してリソースを直接転送できます。

      詳細については、「モバイルアプリが Alibaba Cloud リソースにアクセスすることを承認するために STS トークンを使用する」をご参照ください。

    • Alibaba Cloud アカウント間で権限を付与する

      Account A と Account B の 2 つの Alibaba Cloud アカウントがあるとします。Account B のユーザーが Account A の特定のリソースにアクセスできるようにしたいとします。これを行うには、Account A で RAM ロールを作成し、Account B を信頼できるエンティティとして指定します。次に、Account B の RAM ユーザーまたは RAM ロールに、この新しいロールを偽装する権限を付与します。ロールが偽装されると、Account B の RAM ユーザーまたは RAM ロールは Account A の指定されたリソースにアクセスできます。

      詳細については、「RAM ロールを使用して Alibaba Cloud アカウント間で権限を付与する」をご参照ください。

    • Alibaba Cloud サービス間で権限を付与する

      Alibaba Cloud サービスは、機能を実装するために他のサービスにアクセスする必要がある場合があります。 この場合、Alibaba Cloud サービスは他のサービスにアクセスすることを承認されている必要があります。 たとえば、Elastic Compute Service (ECS) および ApsaraDB RDS からリソースリストとログデータを取得するには、Cloud Config に ECS および ApsaraDB RDS へのアクセス権限が必要です。 この場合、信頼できるエンティティが Alibaba Cloud サービスである RAM ロールを作成できます。 サービスリンクロールを使用することをお勧めします。 サービスリンクロールをサポートしていない Alibaba Cloud サービスの場合は、通常のサービスロールを使用します。

      詳細については、「サービスリンクロールと連携するサービス」をご参照ください。

    • ロールベースの SSO を実装する

      Alibaba Cloud と企業の ID 管理システムが連携してロールベースの SSO を実装する場合、Alibaba Cloud はサービスプロバイダー (SP) であり、ID 管理システムは IdP です。ロールベースの SSO を使用すると、企業は IdP から Alibaba Cloud にユーザーを同期する必要なく、ローカル IdP でユーザーを管理できます。さらに、企業の従業員は特定の RAM ロールを使用して Alibaba Cloud にアクセスできます。この場合、信頼できるエンティティが IdP である RAM ロールを作成できます。

      詳細については、「SAML ベースの SSO の概要」および「OIDC ベースの SSO の概要」をご参照ください。

    用語

    用語

    説明

    信頼できるエンティティ

    信頼できるエンティティとは、ロールをアタッチできるエンティティユーザーのことです。 ロールを作成するときは、信頼できるエンティティを指定する必要があります。 RAM ロールは、信頼できるエンティティによってのみアタッチできます。 信頼できるエンティティは、Alibaba Cloud アカウント、Alibaba Cloud サービス、または IdP です。

    RAM ロールの Alibaba Cloud Resource Name (ARN)

    RAM ロールの Alibaba Cloud Resource Name (ARN) は、RAM ロールのグローバルに一意のリソース識別子です。 ARN は、Alibaba Cloud の ARN 命名規則に従います。 ARN は acs:ram::<account-id>:role/<role-name> 形式です。 <role-name> は、小文字の RAM ロールの名前です。 RAM ロールの ARN を表示する方法の詳細については、「RAM ロールの情報を表示する」をご参照ください。

    ポリシー

    ポリシーの構造と構文に基づいて記述される一連の権限。 ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。 ポリシーは、一連の権限を記述する一種の単純な言語仕様です。 1 つ以上のポリシーを RAM ロールにアタッチできます。 ポリシーのない RAM ロールは、Alibaba Cloud リソースにアクセスできません。

    ロールのアタッチ

    エンティティが RAM ロールの STS トークンを取得するために使用するメソッド。 有効な値:

    RAM角色基本概念

    • Alibaba Cloud 管理コンソールで RAM ロールをアタッチする: エンティティユーザーが Alibaba Cloud 管理コンソールにログインした後、エンティティユーザーはログイン ID を RAM ロールに切り替えることができます。

    • API オペレーションを呼び出して RAM ロールをアタッチする: エンティティユーザーは AssumeRole オペレーションを呼び出して、RAM ロールの STS トークンを取得できます。 その後、エンティティユーザーは STS トークンを使用して Alibaba Cloud サービスの API オペレーションを呼び出すことができます。

    ID の切り替え

    ID の切り替えとは、エンティティユーザーが RAM コンソールでログイン ID からロール ID に切り替えることができる方法です。 エンティティユーザーが RAM コンソールにログインした後、エンティティユーザーはアタッチできる RAM ロールに切り替えることができます。 その後、エンティティユーザーは RAM ロールを使用して Alibaba Cloud リソースを管理できます。 エンティティユーザーがロール ID を必要としなくなった場合は、RAM ユーザーはログイン ID に戻すことができます。

    STS トークン

    STS トークンは、RAM ロールの一時的な AccessKey ペアです。 RAM ロールには、特定のログインパスワードまたは AccessKey ペアがありません。 エンティティユーザーが RAM ロールを使用する場合、エンティティユーザーは RAM ロールをアタッチしてロールトークンを取得する必要があります。 その後、エンティティユーザーはロールトークンを使用して Alibaba Cloud サービスの API オペレーションを呼び出すことができます。

    手順

    1. Alibaba Cloud アカウントを使用するか、RAM 管理者として [RAM コンソール] にログインします。

    2. RAM ロールを作成します。 詳細については、以下のトピックをご参照ください。

      目的に合ったロールタイプを作成します。

    3. RAM ロールに権限を付与します。

      システムポリシーまたはカスタムポリシーを RAM ロールにアタッチできます。詳細については、「RAM ロールに権限を付与する」をご参照ください。

    4. 信頼できるエンティティは、Alibaba Cloud 管理コンソールで、またはオペレーションを呼び出すことによって、RAM ロールの STS トークンを取得できます。 詳細については、以下のトピックをご参照ください。

    5. 信頼できるエンティティは、RAM ロールをアタッチして特定の Alibaba Cloud リソースにアクセスします。

    制限

    RAM ロールの使用制限の詳細については、「制限」をご参照ください。