すべてのプロダクト
Search

このプロダクト

    Resource Management:Resource Directory におけるルートユーザーの制限

    ドキュメントセンター

    Resource Management:Resource Directory におけるルートユーザーの制限

    最終更新日:Jun 22, 2026

    Resource Directory の管理アカウントのルートユーザーとして Resource Management コンソールにログインした後、Resource Directory ページで次の操作を実行できない場合があります:メンバーによる Alibaba Cloud 管理コンソールへのログイン、メンバーの削除、メンバーのタイプの切り替え、メンバーへのセキュリティ用携帯電話番号の紐付け。このトピックでは、これらの問題の原因と解決策について説明します。

    問題の説明

    Resource Directory の管理アカウントのルートユーザーは、メンバーアカウントへのログイン、メンバーアカウントの削除、メンバーアカウントのタイプの切り替え、セキュリティ用携帯電話番号の紐付けができません。コンソール内の対応するボタンが無効になっています。

    無効化されたボタンをクリックすると、「この操作を実行するには、必要な権限を持つ RAM ユーザーを使用してください。」というメッセージが表示されます。

    原因

    Alibaba Cloud のベストプラクティスでは、セキュリティを確保するために 最小権限の原則 が採用されています。ルートユーザーは Alibaba Cloud アカウントのアイデンティティです。デフォルトでは、ルートユーザーは当該 Alibaba Cloud アカウント内のリソースに対するすべての管理権限を持っています。アカウントのルートユーザーを使用して操作を実行すると、極めて高いセキュリティリスクが発生する可能性があり、セキュリティ要件に適合しません。Resource Directory 内では、ルートユーザーを持つのはクラウドアカウントのみです。セキュリティを確保するために、Resource Directory 内のすべてのクラウドアカウントのルートユーザーを無効化し、RAM ユーザーを使用して関連操作を実行することを推奨します。ビジネス要件に基づいて RAM ユーザーに権限を付与できます。

    次の理由により、Resource Directory で重要な操作を実行できるのは、必要な権限を持つ RAM ユーザー のみです:

    • RAM ユーザーには、最小権限の原則に基づいて権限を付与できます。

    • アカウントのルートユーザーの誤用によるセキュリティリスクを防止できます。

    • RAM ユーザーを使用して実行された操作はシステムによって記録されるため、監査と追跡が容易になります。

    ソリューション

    Resource Directory の管理アカウントRAM ユーザー を作成し、RAM ユーザーに必要な権限を付与して、RAM ユーザーを使用して操作を実行できます。

    1. 管理アカウントのルートユーザーで RAM ユーザーを作成します。

      管理アカウントのルートユーザーで RAM コンソール にログインし、アイデンティティ > ユーザー を選択し、ユーザーの作成 をクリックして RAM ユーザーを作成します。このトピックでは、パスワードによるコンソールログイン を選択し、コンソールログインパスワードを設定します。詳細については、「RAM ユーザーの作成」をご参照ください。

    2. 管理アカウントのルートユーザーで RAM ユーザーに権限を付与します。

      ユーザー ページで、対象の RAM ユーザーを見つけ、操作 列の 権限の追加 をクリックします。必要なポリシーを付与します。詳細な手順については、「RAM ユーザー権限の管理」をご参照ください。

      次の表に、さまざまなシナリオで必要なポリシーを示します。

      シナリオ

      ポリシー

      メンバーとして Alibaba Cloud 管理コンソールにログインできない

      • AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      • AliyunSTSAssumeRoleAccess

      メンバーを削除できない

      AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      説明

      メンバーの削除機能が無効になっている場合、[Delete] ボタンも淡色表示されます。そのため、メンバーの削除機能を有効にする必要があります。詳細については、「メンバーの削除機能の有効化」をご参照ください。

      メンバーのタイプを切り替えられない

      AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      セキュリティ目的でメンバーに携帯電話番号を紐付けられない

      AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      説明

      AliyunResourceDirectoryFullAccess ポリシーは、Resource Directory に対する最高権限を定義します。RAM ユーザーとして特定の操作のみを実行する場合は、その操作の実行に必要な権限のみを RAM ユーザーに付与することを推奨します。権限の詳細については、「RAM 認可」をご参照ください。

    3. RAM ユーザーとして Alibaba Cloud 管理コンソールにログインします。

      RAM ユーザーのユーザー名とパスワードで Alibaba Cloud 管理コンソール にログインします。その後、Resource Management コンソール に移動して必要な操作を実行します。