すべてのプロダクト
Search

このプロダクト

    Simple Log Service:Alibaba Cloud アカウント間でリソースにアクセスするための RAM ロールの使用

    ドキュメントセンター

    Simple Log Service:Alibaba Cloud アカウント間でリソースにアクセスするための RAM ロールの使用

    最終更新日:Jun 18, 2025

    Resource Access Management (RAM) ロールを使用して、Alibaba Cloud アカウント間でリソースにアクセスできます。このトピックでは、RAM ロールの作成方法と使用方法について説明します。

    ソリューションの概要

    RAM ロールは、ポリシーをアタッチできる仮想 ID です。 RAM ロールには、ログインパスワードや AccessKey ペアなどの永続的な ID 資格情報はありません。 RAM ロールは、信頼できるエンティティによってロールがアタッチされた後にのみ使用できます。 RAM ロールが信頼できるエンティティによってアタッチされると、信頼できるエンティティは Security Token Service (STS) トークンを取得できます。その後、信頼できるエンティティは STS トークンを使用して、RAM ロールとして Alibaba Cloud リソースにアクセスできます。

    次の手順は、企業 B が RAM ユーザーを使用して企業 A の RAM ロールをアタッチし、企業 A のリソースにアクセスする方法を示しています。

    1. 企業 A の Alibaba Cloud アカウントを使用して RAM ロールを作成します。

    2. RAM ロールにポリシーをアタッチします。

    3. 企業 B の Alibaba Cloud アカウントを使用して RAM ユーザーを作成します。

    4. [aliyunstsassumeroleaccess] ポリシーを RAM ユーザーにアタッチします。

    5. 企業 A のリソースにアクセスするために、RAM ロールの Security Token Service (STS) トークンを取得します。

    ステップ 1: 企業 A の Alibaba Cloud アカウントを使用して RAM ロールを作成する

    1. 管理者権限を持つ RAM ユーザーとして [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、[ロールの作成] をクリックします。

      image

    4. [ロールの作成] ページで、[プリンシパルタイプ] パラメーターを [クラウドアカウント] に、[プリンシパル名] パラメーターを [その他のアカウント] に設定し、企業 B の Alibaba Cloud アカウントの [ID] を入力して、[OK] をクリックします。

    5. [ロールの作成] ダイアログボックスで、[ロール名] パラメーターを設定します。例: aliyunlogreadrole.

    ステップ 2: RAM ロールにポリシーをアタッチする

    説明

    RAM ロールが作成された後、RAM ロールには権限がありません。 RAM ロールに権限を付与できます。 RAM は、Simple Log Service 用の以下のシステムポリシーを提供します。最小権限の原則に基づいて、必要な権限のみを RAM ロールに付与することをお勧めします。

    • AliyunLogFullAccess: このポリシーは、すべての Simple Log Service リソースを管理するための権限を付与します。

    • AliyunLogReadOnlyAccess: このポリシーは、すべての Simple Log Service リソースに対する読み取り専用権限を付与します。

    システムポリシーがビジネス要件を満たしていない場合は、カスタムポリシーを作成してきめ細かいアクセス制御を実装できます。詳細については、「カスタムポリシーの作成」をご参照ください。サンプルポリシーの詳細については、「カスタムポリシーを使用して RAM ユーザーに権限を付与する例」および「概要」をご参照ください。

    1. RAM 管理者として [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。

    3. [ロール] ページで、管理する RAM ロールを見つけ、[権限の付与][アクション] 列の をクリックします。

      image

      複数の RAM ロールを選択し、RAM ロールリストの下部にある [権限の付与] をクリックすると、複数の RAM ロールに一度に権限を付与することもできます。

    4. [権限の付与] パネルで、必要なポリシーを選択し、[権限の付与] をクリックします。この例では、AliyunLogReadOnlyAccess ポリシーが選択されています。

    5. [閉じる] をクリックします。

    ステップ 3: 企業 B の Alibaba Cloud アカウントを使用して RAM ユーザーを作成する

    1. 管理者権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーを使用して、[RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、[ユーザーの作成] をクリックします。image

    4. [ユーザーアカウント情報] セクションの [ユーザーの作成] ページで、次のパラメーターを構成します。

      • [ログイン名]: ログイン名は最大 64 文字で、文字、数字、ピリオド(.)、ハイフン(-)、アンダースコア(_) を使用できます。

      • [表示名]: 表示名は最大 128 文字です。

      • [タグ]: edit アイコンをクリックし、タグキーとタグ値を入力します。 1 つ以上のタグを RAM ユーザーに追加できます。このようにして、タグに基づいて RAM ユーザーを管理できます。

      説明

      [ユーザーの追加] をクリックして、一度に複数の RAM ユーザーを作成できます。

    5. [アクセスモード] セクションで、アクセスモードを選択し、必要なパラメーターを設定します。

      Alibaba Cloud アカウントのセキュリティを確保するために、RAM ユーザーに対して 1 つのアクセスモードのみを選択することをお勧めします。このようにして、個人の RAM ユーザーはプログラムの RAM ユーザーから分離されます。

      • [コンソールアクセス]

        RAM ユーザーが個人を表す場合は、RAM ユーザーに対してコンソールアクセスを選択することをお勧めします。このようにして、RAM ユーザーはユーザー名とパスワードを使用して Alibaba Cloud にアクセスできます。コンソールアクセスを選択した場合は、次のパラメーターを設定する必要があります。

        • [コンソールパスワードの設定]: [デフォルトパスワードの自動再生成] または [カスタムパスワードのリセット] を選択できます。 [カスタムパスワードのリセット] を選択した場合は、パスワードを指定する必要があります。パスワードは複雑さの要件を満たしている必要があります。詳細については、「RAM ユーザーのパスワードポリシーを設定する」をご参照ください。

        • [パスワードのリセット]: 次回のログイン時に RAM ユーザーがパスワードをリセットする必要があるかどうかを指定します。

        • [MAF の有効化]: RAM ユーザーに対して多要素認証 (MFA) を有効にするかどうかを指定します。 MFA を有効にした後、MFA デバイスを RAM ユーザーにバインドする必要があります。詳細については、「MFA デバイスを RAM ユーザーにバインドする」をご参照ください。

      • [永続 Accesskey を使用してアクセスする]

        RAM ユーザーがプログラムを表す場合は、RAM ユーザーに対して [永続 AccessKey を使用してアクセスする] を選択できます。この方法では、RAM ユーザーは AccessKey ペアを使用して Alibaba Cloud にアクセスできます。OpenAPI アクセスを選択すると、システムは RAM ユーザーの AccessKey ID と AccessKey シークレットを自動的に生成します。詳細については、「AccessKey ペアを取得する」をご参照ください。

        重要

        • RAM ユーザーの AccessKey シークレットは、AccessKey ペアを作成するときにのみ表示されます。後続の操作で AccessKey シークレットを照会することはできません。したがって、AccessKey シークレットをバックアップする必要があります。

        • AccessKey ペアは、アプリケーションアクセスのための永続的な資格情報です。 Alibaba Cloud アカウントの AccessKey ペアが漏洩した場合、アカウントに属するリソースは潜在的なリスクにさらされます。資格情報の漏洩リスクを防ぐために、Security Token Service (STS) トークンを使用することをお勧めします。詳細については、「API 操作を呼び出すためのアクセス資格情報の使用に関するベストプラクティス」をご参照ください。

    6. [OK] をクリックします。

    7. プロンプトに従ってセキュリティ検証を完了します。

    ステップ 4: RAM ユーザーにポリシーをアタッチする

    RAM ユーザーが企業 A の RAM ロールをアタッチする前に、企業 B は [aliyunstsassumeroleaccess] ポリシーを RAM ユーザーにアタッチする必要があります。

    1. RAM 管理者として [RAM コンソール] にログインします。

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、必要な RAM ユーザーを見つけ、[権限の追加][アクション] 列の をクリックします。

      image

      複数の RAM ユーザーを選択し、ページ下部の [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。

    4. ポリシー[権限の付与] ページの AliyunSTSAssumeRoleAccessシステムポリシー[権限の付与] セクションで、 を検索して選択します。次に、 をクリックします。

    5. [閉じる] をクリックします。

    ステップ 5: RAM ロールの STS トークンを取得する

    [aliyunstsassumeroleaccess] ポリシーが RAM ユーザーにアタッチされると、RAM ユーザーは STS の AssumeRole 操作を呼び出して STS トークンを取得し、ステップ 1: 企業 A の Alibaba Cloud アカウントを使用して RAM ロールを作成する で作成された RAM ロールをアタッチします。その後、RAM ユーザーは企業 A のリソースにアクセスできます。

    説明

    • AssumeRole 操作の呼び出し方法の詳細については、「STS SDKの概要」をご参照ください。

    • RAM ユーザーが必要な AccessKey ID、AccessKey シークレット、および STS トークンを取得した後、RAM ユーザーは Simple Log Service SDK を使用して Simple Log Service のリソースにアクセスできます。詳細については、「Simple Log Service SDK の概要」をご参照ください。