すべてのプロダクト
Search

このプロダクト

    Resource Management:アカウントのルートユーザーが一部のリソースディレクトリ機能を使用できないのはなぜですか?

    ドキュメントセンター

    Resource Management:アカウントのルートユーザーが一部のリソースディレクトリ機能を使用できないのはなぜですか?

    最終更新日:Dec 04, 2025

    リソースディレクトリの管理アカウントのルートユーザーとしてリソース管理コンソールにログインした後、[リソースディレクトリ] ページで、メンバーを使用して Alibaba Cloud 管理コンソールにログイン、メンバーの削除、メンバーのタイプの切り替え、セキュリティのためにメンバーに携帯電話番号をバインドなどの操作を実行できない場合があります。このトピックでは、問題の原因と解決策について説明します。

    問題の説明

    リソースディレクトリの管理アカウントのルートユーザーとしてリソース管理コンソールにログインすると、次の図に示すように、[操作] 列の [ログインアカウント]、[削除]、[クラウドアカウントに切り替え]、[リソースアカウントに切り替え]、[携帯電話番号をバインド] ボタンが選択不可になります。

    image

    原因

    Alibaba Cloud のベストプラクティスでは、セキュリティを確保するために、最小権限の原則が実装されています。ルートユーザーは Alibaba Cloud アカウント ID です。デフォルトでは、ルートユーザーは、関連する Alibaba Cloud アカウント内のリソースに対するすべての管理権限を持っています。アカウントのルートユーザーを使用して操作を実行すると、非常に高いセキュリティリスクが発生する可能性があり、セキュリティ要件に準拠しません。リソースディレクトリでは、クラウドアカウントだけがルートユーザーを持っています。セキュリティを確保するために、リソースディレクトリ内のすべてのクラウドアカウントのルートユーザーを無効にし、RAM ユーザーを使用して関連操作を実行することをお勧めします。ビジネス要件に基づいて RAM ユーザーに権限を付与できます。

    必要な権限を持つ RAM ユーザー のみを使用して、リソースディレクトリで主要な操作を実行できます。これは次の理由によります。

    • RAM ユーザーには、最小権限の原則に基づいて権限を付与できます。

    • アカウントのルートユーザーの誤用によるセキュリティリスクを防ぐことができます。

    • RAM ユーザーを使用して実行された操作はシステムによって記録されるため、監査と追跡が容易になります。

    解決策

    リソースディレクトリの管理アカウントRAM ユーザーを作成し、必要な権限を RAM ユーザーに付与し、その RAM ユーザーを使用して操作を実行できます。

    1. 管理アカウントのルートユーザーを使用して RAM ユーザーを作成します。

      管理アカウントのルートユーザーを使用して、RAM コンソール にログインします。左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。[ユーザー] ページで、[ユーザーの作成] をクリックします。この例では、アクセスモードは [コンソールアクセス] に設定され、コンソールログイン用のパスワードが指定されています。詳細については、「RAM ユーザーを作成する」をご参照ください。

      image

    2. 管理アカウントのルートユーザーを使用して、RAM ユーザーに権限を付与します。

      [ユーザー] ページで、RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。[権限の付与] パネルで、必要なポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

      image

      次の表に、さまざまなシナリオで必要なポリシーを示します。

      シナリオ

      ポリシー

      メンバーを使用して Alibaba Cloud 管理コンソールにログインできない

      • AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      • AliyunSTSAssumeRoleAccess

      メンバーを削除できない

      AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      説明

      メンバー削除機能が無効になっている場合、[削除] ボタンも選択不可になります。そのため、メンバー削除機能を有効にする必要があります。詳細については、「メンバー削除機能を有効にする」をご参照ください。

      メンバーのタイプを切り替えられない

      AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      セキュリティのためにメンバーに携帯電話番号をバインドできない

      AliyunResourceDirectoryFullAccess、または最小限必要な操作権限を含むカスタムポリシー

      説明

      AliyunResourceDirectoryFullAccess ポリシーは、リソースディレクトリに対する最高の権限を定義します。 RAM ユーザーとして特定の操作のみを実行する場合は、操作の実行に必要な権限のみを RAM ユーザーに付与することをお勧めします。権限の詳細については、「リソースディレクトリ」をご参照ください。

    3. RAM ユーザーとして Alibaba Cloud 管理コンソールにログインします。

      RAM ユーザーとして Alibaba Cloud 管理コンソール にログインし、RAM ユーザーのユーザー名とパスワードを入力します。次に、リソース管理コンソール にログインし、ビジネス要件に基づいて操作を実行します。

      image