リソースアカウントまたはクラウドアカウントであるメンバーは、このトピックで説明する方法を使用して Alibaba Cloud 管理コンソールにログインできます。
ログイン方法
ログイン方法 | 説明 | 適用対象 |
Resource Directory (RD) は、各メンバーに対して ResourceDirectoryAccountAccessRole という名前の RAM ロールを自動的に作成します。 Resource Directory は、リソースディレクトリの管理アカウントをロールの信頼できるエンティティとして設定します。 これにより、管理アカウントはロールを偽装してすべてのメンバーにアクセスできます。 管理アカウントの下に RAM ユーザーを作成し、そのユーザーに必要な権限を付与できます。 その後、RAM ユーザーを使用してメンバーの RAM ロール (ResourceDirectoryAccountAccessRole) を偽装し、メンバーのコンソールにログインできます。 |
| |
管理アカウントの RAM ユーザーがメンバーの RAM ロールを偽装してメンバーのコンソールにログインした後、メンバーの RAM ユーザーを作成して権限を付与できます。 その後、メンバーの RAM ユーザーを使用してコンソールに直接ログインできます。 | ||
クラウドアカウントであるメンバーの場合、Alibaba Cloud アカウント (ルートユーザー) のユーザー名とログインパスワードを使用してコンソールに直接ログインできます。 | リソースディレクトリへの参加を招待された Alibaba Cloud アカウント。 これらのメンバーはクラウドアカウントです。 | |
CloudSSO は、Alibaba Cloud リソースディレクトリ内の複数のアカウントに対して、統一された ID 管理とアクセスの制御を提供します。 CloudSSO を有効にし、リソースディレクトリ内のメンバーに権限を付与すると、CloudSSO ユーザーは CloudSSO ユーザーポータルにログインできます。 その後、ユーザーはアクセス構成に基づいてメンバーのリソースにアクセスできます。 | CloudSSO ユーザー |
手順
RAM ロールを偽装して Alibaba Cloud 管理コンソールにログインする
管理アカウントの下に RAM ユーザーを作成し、そのユーザーに権限を付与できます。
管理アカウントとして RAM コンソールにログインできます。
RAM ユーザーを作成できます。
この例では、RAM ユーザー名は Alice です。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAM ユーザー (Alice) に権限を付与できます。
RAM ユーザー (Alice) には、少なくとも次の権限を付与する必要があります:
AliyunSTSAssumeRoleAccess: セキュリティトークンサービス (STS) の AssumeRole 操作を呼び出す権限。
AliyunResourceDirectoryFullAccess: Resource Directory を管理する権限。
説明RAM ユーザー (Alice) が管理者として使用される場合は、AdministratorAccess 権限を直接付与できます。 これはリスクの高い権限です。 慎重に付与してください。
詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
RAM ユーザー (Alice) を使用してメンバーのロールを偽装し、メンバーのコンソールにログインできます。
RAM ユーザー (Alice) として Resource Management コンソールにログインできます。
左側のナビゲーションウィンドウで、 を選択します。
[リソース組織図] タブまたは [メンバーリスト] タブで、ターゲットメンバーを見つけ、[アクション] 列の [ログイン] をクリックします。
ログイン後、管理アカウントの RAM ユーザー (Alice) は、ターゲットメンバーの RAM ロール (ResourceDirectoryAccountAccessRole) を偽装します。 これで、ユーザーはこのロールの範囲内の操作を実行できます。
RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする
管理アカウントの RAM ユーザーを使用して、メンバーの RAM ロールを偽装し、Alibaba Cloud 管理コンソールにログインできます。
詳細については、「RAM ロールを偽装して Alibaba Cloud 管理コンソールにログインする」をご参照ください。
メンバーの RAM ユーザーを作成できます。
この例では、RAM ユーザー名は Tom です。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAM ユーザー (Tom) に権限を付与できます。
最小権限の原則に従って、RAM ユーザー (Tom) に特定のクラウドリソースへのアクセス権限を付与できます。 詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
RAM ユーザー (Tom) としてコンソールにログインできます。
詳細については、「RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする」をご参照ください。
ルートユーザーとして Alibaba Cloud 管理コンソールにログインする (非推奨)
セキュリティ上の理由から、ルートユーザーとしてログインしないでください。
Alibaba Cloud 管理コンソールにログインできます。
Alibaba Cloud アカウントのユーザー名とログインパスワードを入力できます。
[ログイン] をクリックします。
CloudSSO ユーザーとして Alibaba Cloud 管理コンソールにログインする
CloudSSO で関連設定を構成できます。 詳細については、「CloudSSO を使用して、企業の複数のアカウントに対する ID 管理とアクセスの制御を統一する」をご参照ください。 その後、CloudSSO ユーザーとしてログインできます。 詳細については、「ユーザーポータルにログインして Alibaba Cloud リソースにアクセスする」をご参照ください。