すべてのプロダクト
Search

このプロダクト

    Resource Orchestration Service:自己管理権限の付与

    ドキュメントセンター

    Resource Orchestration Service:自己管理権限の付与

    最終更新日:Jun 04, 2026

    自己管理権限を持つスタックグループを作成するには、管理者アカウントと実行アカウントで RAM ロールを手動で作成し、スタックのデプロイのための信頼関係を確立する必要があります。

    背景情報

    自己管理権限を付与するには、次の Alibaba Cloud アカウントに対して RAM ロールを作成し、権限を付与します:

    Alibaba Cloud アカウント

    RAM ロール

    ポリシー

    説明

    管理者アカウント

    AliyunROSStackGroupAdministrationRole

    カスタムポリシー:AssumeRole-AliyunROSStackGroupExecutionRole

    AliyunROSStackGroupAdministrationRole が AliyunROSStackGroupExecutionRole を偽装できるようにします。

    実行アカウント

    AliyunROSStackGroupExecutionRole

    システムポリシー:AdministratorAccess

    AliyunROSStackGroupExecutionRole に、実行アカウント内のすべてのリソースへのフルアクセス権限を付与します。
    説明

    管理者アカウントと実行アカウントは、同じ Alibaba Cloud アカウントにすることができます。アカウントロールについては、概要をご参照ください。

    権限を付与した後、管理者アカウントで Resource Orchestration Service (ROS) コンソールにログインし、スタックグループを作成して、実行アカウントにスタックをデプロイします。

    方法 1:RAM コンソールを使用する

    1. 実行アカウントの権限を設定します。

      1. 実行アカウントで Resource Access Management (RAM) コンソールにログインします。

      2. AliyunROSStackGroupExecutionRole という名前の RAM ロールを作成し、管理者アカウントを信頼できるエンティティとして設定します。

        1. 左側のナビゲーションウィンドウで、Identities > Rolesを選択します。

        2. Roles ページで、ロールの作成 をクリックします。

        3. ロールの作成 ページで、[信頼できるエンティティタイプ][クラウドアカウント] に設定します。

        4. [信頼できるクラウド アカウント][その他のクラウド アカウント] に設定し、管理者アカウントの ID を入力します。

        5. OK をクリックします。表示されたダイアログボックスで、[ロール名] フィールドに [AliyunROSStackGroupExecutionRole] を入力します。

        6. OK をクリックして作成を完了します。

      3. AliyunROSStackGroupExecutionRole に AdministratorAccess 権限を付与します。

        1. Roles ページで、AliyunROSStackGroupExecutionRole RAM ロールを探し、[操作] 列の 権限の付与 をクリックします。

        2. 権限の付与 パネルで、リソース範囲を [アカウントレベル] に設定します。プリンシパルは自動的に入力されます。

        3. [システムポリシー] を選択し、[AdministratorAccess] ポリシーを選択します。

        4. [権限付与を承認] をクリックします。

    2. 管理者アカウントの権限を設定します。

      1. 管理者アカウントで RAM コンソールにログインします。

      2. AliyunROSStackGroupAdministrationRole という名前の RAM ロールを作成し、Resource Orchestration Service を信頼できるエンティティとして設定します。

        1. 左側のナビゲーションウィンドウで、Identities > Rolesを選択します。

        2. Roles ページで、ロールの作成 をクリックします。

        3. ロールの作成 ページで、[信頼できるエンティティの種類][クラウドサービス] に設定します。

        4. [プリンシパル][Resource Orchestration Service] に設定し、OK をクリックします。

        5. 表示されるダイアログボックスで、[ロール名] フィールドに [AliyunROSStackGroupAdministrationRole] を入力します。

        6. OK をクリックすると、作成が完了します。

      3. AssumeRole-AliyunROSStackGroupExecutionRole という名前のカスタムポリシーを作成します。

        1. 左側のナビゲーションウィンドウで、Permissions > Policiesを選択します。

        2. Policies ページで、ポリシーの作成 をクリックします。

        3. ポリシーの作成 ページで、[スクリプトエディター] タブをクリックし、次のポリシー内容を入力して OK をクリックします。 次に、[名前][AssumeRole-AliyunROSStackGroupExecutionRole] に設定します。

          このポリシーにより、AliyunROSStackGroupAdministrationRole は AliyunROSStackGroupExecutionRole を偽装できます。

          {
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "sts:AssumeRole",
      "Resource": "acs:ram::*:role/AliyunROSStackGroupExecutionRole"
    }
  ],
  "Version": "1"
}

        4. OK をクリックして作成を完了します。

      4. AliyunROSStackGroupAdministrationRole に AssumeRole-AliyunROSStackGroupExecutionRole 権限を付与します。

        1. 左側のナビゲーションウィンドウで、Identities > Rolesを選択します。

        2. Roles ページで、AliyunROSStackGroupAdministrationRole RAM ロールを見つけ、[操作] 列の 権限の付与 をクリックします。

        3. 権限の付与 パネルで、[リソース範囲][アカウントレベル] に設定します。プリンシパルは自動的に入力されます。

        4. カスタムポリシーを選択し、次に [AssumeRole-AliyunROSStackGroupExecutionRole] ポリシーを選択します。

        5. [権限付与を確認] をクリックします。

    方法 2:ROS コンソールを使用する

    ROS テンプレートを使用して RAM ロールを作成し、管理者アカウントと実行アカウントに権限を付与します。

    1. 管理者アカウントで ROS コンソールにログインし、AliyunROSStackGroupAdministrationRole テンプレートを使用して RAM ロールを作成し、権限を付与します。

      サンプルテンプレート:

      ROSTemplateFormatVersion: '2015-09-01'
Description: AliyunROSStackGroupAdministrationRole を設定して、Alibaba Cloud ROS でスタックグループを使用できるようにします。
Parameters:
  AdministrationRoleName:
    Type: String
    Default: AliyunROSStackGroupAdministrationRole
    Description:
      en: 管理者アカウントのロール名
  ExecutionRoleName:
    Type: String
    Default: AliyunROSStackGroupExecutionRole
    Description:
      en: 実行アカウントの実行ロール名
Metadata:
  ALIYUN::ROS::Interface:
    ParameterGroups:
      - Parameters:
          - AdministrationRoleName
          - ExecutionRoleName
        Label:
          default:
            en: RAM
    TemplateTags:
      - acs:example:Security:スタックグループの管理者アカウントに権限を付与
Resources:
  AliyunROSStackGroupAdministrationRole:
    Type: ALIYUN::RAM::Role
    Properties:
      RoleName:
        Ref: AdministrationRoleName
      AssumeRolePolicyDocument:
        Version: 1
        Statement:
          - Action: sts:AssumeRole
            Effect: Allow
            Principal:
              Service:
                - ros.aliyuncs.com
      Policies:
        - PolicyName:
            Fn::Sub:
              - AssumeRole-${ExecutionRoleName}
              - ExecutionRoleName:
                  Ref: ExecutionRoleName
          PolicyDocument:
            Statement:
              - Effect: Allow
                Action:
                  - sts:AssumeRole
                Resource:
                  - Fn::Sub: acs:ram::*:role/${ExecutionRoleName}
            Version: '1'
Outputs:
  AdministrationRoleName:
    Value:
      Fn::GetAtt:
        - AliyunROSStackGroupAdministrationRole
        - RoleName

    2. 実行アカウントで ROS コンソールにログインし、AliyunROSStackGroupExecutionRole テンプレートを使用して RAM ロールを作成し、権限を付与します。

      サンプルテンプレート:

      ROSTemplateFormatVersion: '2015-09-01'
Description: AliyunROSStackGroupExecutionRole を設定して、ご利用のアカウントを Alibaba Cloud ROS のスタックグループの実行アカウントとして使用できるようにします。
Conditions:
  CurrentAccount:
    Fn::Equals:
      - Ref: AdministrationAccountId
      - ''
Parameters:
  ExecutionRoleName:
    Type: String
    Default: AliyunROSStackGroupExecutionRole
    Description:
      en: 実行アカウントの実行ロール名
  AdministrationAccountId:
    Type: String
    Description:
      en: 管理者アカウントの ID。このパラメーターを空のままにすると、現在のアカウントに権限が付与されます。
    Default: ''
Metadata:
  ALIYUN::ROS::Interface:
    ParameterGroups:
      - Parameters:
          - ExecutionRoleName
          - AdministrationAccountId
        Label:
          default: RAM
    TemplateTags:
      - acs:example:Security:スタックグループの実行アカウントに権限を付与
Resources:
  AliyunROSStackGroupExecutionRole:
    Type: ALIYUN::RAM::Role
    Properties:
      RoleName:
        Ref: ExecutionRoleName
      AssumeRolePolicyDocument:
        Version: 1
        Statement:
          - Action: sts:AssumeRole
            Effect: Allow
            Principal:
              RAM:
                - Fn::Join:
                    - ''
                    - - 'acs:ram::'
                      - Fn::If:
                          - CurrentAccount
                          - Ref: ALIYUN::TenantId
                          - Ref: AdministrationAccountId
                      - ':root'
  AttachPolicy:
    Type: ALIYUN::RAM::AttachPolicyToRole
    Properties:
      PolicyName: AdministratorAccess
      PolicyType: System
      RoleName:
        Fn::GetAtt:
          - AliyunROSStackGroupExecutionRole
          - RoleName
Outputs:
  ExecutionRoleName:
    Value:
      Fn::GetAtt:
        - AliyunROSStackGroupExecutionRole
        - RoleName