Certificate Management Service コンソールで証明書のデプロイメントや証明書のホスティングなどのサービスを利用する場合、Certificate Management Service ロールに権限を付与する必要があります。これにより、Certificate Management Service は他のクラウドプロダクトのリソースにアクセスできるようになります。
RAM ロールの説明
Resource Access Management (RAM) ロールは、一連のアクセスポリシーを付与できる仮想ユーザーです。RAM ユーザーとは異なり、RAM ロールにはログインパスワードや AccessKey ペアなどの永続的な認証情報がありません。RAM ロールは、信頼できるエンティティによって引き受けられる必要があります。ロールが引き受けられると、信頼できるエンティティは、その RAM ロールの一時的な認証情報であるセキュリティトークンサービス (STS) トークンを取得します。その後、信頼できるエンティティは、この STS トークンを使用して、RAM ロールとして権限を付与されたリソースにアクセスできます。
以下の機能を使用する場合、Certificate Management Service は AliyunCASDefaultRole RAM ロールを使用して、他のクラウドプロダクトへのアクセス権限を取得する必要があります。
Elastic Compute Service (ECS) インスタンスを含むクラウドプロダクトへのデプロイメント:
クラウドプロダクトのデプロイメント機能の使用。
Certificate Management Service コンソールとのクラウドプロダクトリソースの同期。
権限を付与すると、Certificate Management Service コンソールを開いたときに、クラウドプロダクトのリソースがリアルタイムで同期されます。クラウドプロダクトのデプロイメントタスクを作成する際には、リソースの同期が手動でトリガーされます。
ホスティングサービス:
マネージドサービスを使用して、クラウドプロダクトを自動的にデプロイできます。
ホスティングサービスを使用した DNS レコードの自動追加。
SSL 証明書のデプロイメントの詳細については、「SLB、CDN、WAF などのクラウドプロダクトへの SSL 証明書のデプロイ」または「コンソールから Alibaba Cloud ECS インスタンスへの SSL 証明書のデプロイ」をご参照ください。
SSL 証明書のホスティングサービスを有効にするには、「証明書のホスティングの有効化」をご参照ください。
Certificate Management Service の RAM ロールの作成と権限付与
クラウドプロダクトのデプロイメント、クラウドサーバーのデプロイメント、または証明書のホスティングなどのサービスを初めて使用する際、Alibaba Cloud から権限付与を求めるプロンプトが表示されます。プロンプトに従って権限付与を完了してください。権限付与が成功すると、AliyunCASDefaultRole RAM ロールが自動的に作成されます。Certificate Management Service は、デフォルトでこのロールを使用して、他のクラウドプロダクトのお客様のリソースにアクセスします。
以下に、Certificate Management Service に権限を付与する手順の例を示します:
コンソールで証明書をクラウドプロダクトにデプロイすると、権限付与メッセージが表示されます。 OK をクリックします。
[クラウドリソースアクセス権限付与] ページで、権限を付与する をクリックします。
権限付与が成功すると、クラウドプロダクトのデプロイメント、クラウドサーバーのデプロイメント、証明書のホスティングなどのサービスを使用できるようになります。
権限付与された RAM ロールの表示
権限付与が成功した後、RAM ロールを表示できます。詳細については、「RAM ロールの表示」をご参照ください。次の図は、作成された RAM ロールを示しています。
権限付与された RAM ロールの操作ログの表示
Certificate Management Service は、Alibaba Cloud の ActionTrail サービスと統合されています。ActionTrail コンソールで AliyunCASDefaultRole ロールの操作記録をクエリできます。詳細については、「ActionTrail コンソールでのイベントのクエリ」をご参照ください。
