certificate Management Serviceコンソールで証明書のデプロイや証明書のホスティングなどの機能を使用する場合は、certificate Management serviceのサービスにリンクされたロールを承認して、機能が他のクラウドサービスのリソースにアクセスできるようにする必要があります。
RAMロールの説明
リソースアクセス管理 (RAM) ロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。
次の機能を使用すると、証明書管理サービスはRAMロールAliyunCASDefaultRoleを引き受け、他のクラウドサービスのリソースにアクセスします。
クラウドサービスのデプロイとクラウドサーバーのデプロイ:
クラウドサービスとクラウドサーバーに証明書をデプロイします。
他のクラウドサービスのリソースをCertificate Management Serviceコンソールに同期します。
認証完了後に証明書管理サービスコンソールにログインすると、他のクラウドサービスのリソースが自動的に証明書管理サービスコンソールにリアルタイムで同期されます。 証明書デプロイタスクを作成するときに、[クラウドリソースの同期] ボタンをクリックして、他のクラウドサービスのリソースを同期できます。
証明書ホスティング:
クラウドサービスに証明書をデプロイします。
ドメイン名のドメインネームシステム (DNS) レコードを追加します。
証明書のデプロイ方法の詳細については、「Alibaba cloudのクラウドサービスへの証明書のデプロイ」および「Alibaba CloudシンプルアプリケーションサーバーまたはECSインスタンスへの証明書のデプロイ」をご参照ください。
証明書のホスティングを有効にする方法の詳細については、「証明書のホスティングの有効化」をご参照ください。
証明書管理サービスのRAMロールを作成し、RAMロールに必要な権限を付与
クラウドサービスのデプロイ、クラウドサーバーデプロイ、または証明書ホスティング機能を初めて使用すると、Alibaba cloudは承認を完了するよう求めます。 プロンプトに従って承認を完了します。 権限付与が完了すると、RAMロールAliyunCASDefaultRoleが自動的に作成されます。 デフォルトでは、Certificate Management ServiceはRAMロールを引き受け、他のクラウドサービスのリソースにアクセスします。
次の手順では、証明書管理サービスに権限を付与する方法について説明します。
certificate Management serviceコンソールでクラウドサービスに証明書をデプロイすると、承認を完了するように求められます。 [OK] をクリックします。
[クラウドリソースアクセス権限付与] ページで、 [権限付与ポリシーの確定] をクリックします。
承認が完了すると、クラウドサービスのデプロイ、クラウドサーバーのデプロイ、証明書のホスティングなどの機能を使用できます。
RAMロールに関する情報の表示
権限付与が完了すると、RAMロールに関する情報を表示できます。 詳細については、「RAMロールに関する情報の表示」をご参照ください。 次の図は、RAMロールに関する情報を示しています。
RAMロールに関連する操作ログの表示
証明書管理サービスはActionTrailと統合されています。 ActionTrailコンソールで、RAMロールAliyunCASDefaultRoleに関連する操作ログを照会できます。 詳細については、「ActionTrailコンソールでのイベントの照会」をご参照ください。
