RAM ロールは仮想ユーザーを表す RAM で定義された一種の ID なので、特定の ID 認証キーはありません。 RAM ロールは、コンソールを介して、または特定の API を使用して、信頼できるエンティティユーザーによって引き受けることができます。 信頼できるエンティティは、Alibaba Cloud アカウント、Alibaba Cloud サービス、または ID プロバイダー(IdP)です。
注 特に指定しない限り、このページでロールは RAM ロールを指します。
関連する概念
次の図に、RAM ロールに関連する概念間の関係を示します。
図 1. RAM ロールに関連する概念
| 概念 | 説明 |
|---|---|
| ARN | RoleARN は、ロールのグローバルリソース識別子です。 ロールを指定する場合に使用します。
|
| 信頼できるエンティティ | 信頼できるエンティティとは、ロールの引き受けが可能な信頼できるエンティティユーザーの ID です。
|
| ポリシー | ロールは一連のポリシーに関連付けることができます。 ロールをどのポリシーにも関連付けないままにすることは可能ですが、そのロールはリソースにはアクセスできません。 |
| ロールの引き受け | ロールの引き受けは、エンティティユーザーがロールのセキュリティトークンを取得するための方法です。 エンティティユーザーは、AssumeRole API を呼び出すことでロールのセキュリティトークンを取得し、そのトークンを使用してクラウドサービス API にアクセスできます。 |
| ID の切り替え | ID の切り替えは、エンティティユーザーが RAM コンソールでログイン ID からロール ID に切り替えることができるメソッドです。
|
| ロールトークン | ロールトークンは、ロール ID への一時的な AccessKey です。 RAM ロールには特定の ID 認証キーがありません。 エンティティユーザーは、ロールを使用する場合そのロールを引き受けてロールトークンを取得する必要があります。 その後、ユーザーはロールトークンを使用して Alibaba Cloud サービス API を呼び出すことができます。 |
説明
RAM ロールは、信頼されたエンティティユーザーによって引き受けられた後にのみ使用できます。
図 2. RAM ロールの使用
RAM ロールとテキストブックロール(Textbook-Role)の違い:
- 仮想ユーザーとして、RAM ロールは特定の ID を持ち、一連のポリシーを付与できます。 ただし、RAM ロールには特定の ID 認証キー(ログインパスワードまたはアクセスキー)はありません。
- テキストブックロール(または伝統的な定義済みロール)は、RAM 内のポリシーと同様に、権限セットを示します。 そのようなロールがユーザーに付与されている場合、そのユーザーは一連の権限を持ち、許可されたリソースにアクセスできます。
エンティティユーザーと仮想ユーザーの違い:
- エンティティユーザーには、特定のログインパスワードまたはアクセスキーがあります。 アカウント、RAM ユーザーアカウント、およびクラウドサービスアカウントは、すべてがエンティティユーザーです
- 仮想ユーザーには特定の認証キーがありません。 RAM ロールはエンティティユーザーにより引き受ける必要があります。
RAM ロールタイプ
RAM ロールは、信頼できるエンティティのタイプにより以下のように分類されます。
- Alibaba Cloud アカウント :RAM ユーザーが引き受け可能な ロール。 RAM ユーザーは、自分のアカウントまたは他のアカウントに属している可能性があります。 このようなロールにより、クロスアカウントアクセスと一時的な権限付与に対するソリューションが提供されます。
- Alibaba Cloud サービス :クラウドサービスが引き受け可能な ロール。 このようなロールは、クラウドサービスにスタンドアロンアプリケーションとしてリソースを操作する権限を付与する場合に使用します。
- IdP: 信頼される IdP のユーザーが引き受けることができるロール。 このようなロールは Alibaba Cloud へのシングルサインオン(SSO)を実装するために使用されます。