このトピックでは、ロールに割り当てられているポリシーを変更して、RAM ロールの信頼できるエンティティを変更する方法について説明します。 RAM ロールの信頼できるエンティティは、Alibaba Cloud アカウント、Alibaba Cloud サービス、または ID プロバイダー (IdP) です。
信頼できるエンティティを Alibaba Cloud アカウントに変更
Principal 要素に "RAM" フィールドが含まれている場合、信頼できるエンティティは Alibaba Cloud アカウントです。信頼できるアカウント配下の RAM ユーザーは、ロールを引き受けることができます。
次のポリシーでは、Alibaba Cloud アカウント (123456789012****) 配下のすべての RAM ユーザーはロールを引き受けることができます。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::123456789012****:root"
]
}
}
],
"Version": "1"
}次のように Principal 要素を変更すると、Alibaba Cloud アカウント (123456789012****) 配下の RAM ユーザー testuser はロールを引き受けることができます。
"Principal": {
"RAM": [
"acs:ram::123456789012****:user/testuser" 信頼できるエンティティを Alibaba Cloud サービスに変更
Principal 要素に "Service" フィールドが含まれている場合、信頼できるエンティティは Alibaba Cloud サービスです。現在の Alibaba Cloud
アカウント配下の信頼できる Alibaba Cloud サービスは、ロールを引き受けることができます。
次のポリシーでは、現在の Alibaba Cloud アカウント配下の ECS はロールを引き受けることができます。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}信頼できるエンティティを IdP に変更
Principal 要素に "Federated" フィールドが含まれている場合、信頼できるエンティティは IdP です。信頼できる IdP 配下の ユーザーは、ロールを引き受けることができます。
次のポリシーでは、現在の Alibaba Cloud アカウント (123456789012****) で IdP (testprovider) 配下のユーザーはロールを引き受けることができます。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition":{
"StringEquals":{
"saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
}
}
}
],
"Version": "1"
}