このトピックでは、CloudSSO サービスリンクロール (AliyunServiceRoleForCloudSSO) の作成、表示、削除方法について説明します。
シナリオ
サービスリンクロール (AliyunServiceRoleForCloudSSO) には、RAM ロール、RAM ユーザー、アクセスポリシー、およびサービスプロバイダーを管理する権限があります。これにより、CloudSSO はリソースディレクトリ (RD) の権限を一元的に設定できます。
サービスロールの詳細については、「サービスロール」をご参照ください。
サービスリンクロールの作成
サービスリンクロール (AliyunServiceRoleForCloudSSO) は、次のシナリオで自動的に作成されます。
ディレクトリを作成すると、サービスリンクロールが RD の管理アカウントに自動的に作成されます。
CloudSSO を使用して RD メンバーに初めてアクセス構成を付与すると、サービスリンクロールがそのメンバーアカウントに自動的に作成されます。
CloudSSO を使用して RD メンバーの RAM ユーザー同期を初めて設定すると、サービスリンクロールがそのメンバーアカウントに自動的に作成されます。
サービスリンクロールの表示
サービスリンクロール (AliyunServiceRoleForCloudSSO) が作成された後、Resource Access Management (RAM) コンソールでロールを表示できます。基本情報、信頼ポリシー、およびアクセスポリシー (AliyunServiceRolePolicyForCloudSSO) を表示できます。
RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[AliyunServiceRoleForCloudSSO] をクリックします。
ロールの基本情報を表示できます。
ロールの詳細ページで、[基本情報] セクションを見つけて、RAM ロール名、作成時間、ARN などの情報を表示します。
ロールの信頼ポリシーを表示できます。
ロールの詳細ページで、[信頼ポリシー] タブをクリックします。
Serviceフィールドで、ロールを偽装できる Alibaba Cloud サービスを表示できます。例:"Service": ["cloudsso.aliyuncs.com"]。ロールのアクセスポリシー (AliyunServiceRolePolicyForCloudSSO) を表示できます。
ロールの詳細ページで、[権限管理] タブをクリックします。
アクセスポリシー名 [AliyunServiceRolePolicyForCloudSSO] をクリックします。
[ポリシー内容] タブで、アクセスポリシーの詳細を表示できます。
説明RAM コンソールのアクセスポリシーのリストでは、サービスリンクロールのアクセスポリシーを表示できません。
サービスロールを削除する
次の 2 つのケースで、サービスリンクロール (AliyunServiceRoleForCloudSSO) を削除できます。
RD の管理アカウントからサービスリンクロールを削除する
CloudSSO ディレクトリを削除した後、RAM コンソールでサービスリンクロール (AliyunServiceRoleForCloudSSO) を手動で削除できます。詳細については、「RAM ロールの削除」をご参照ください。
RD のメンバーからサービスリンクロールを削除する
メンバーが RD から削除されると、システムはそのメンバーアカウントからサービスリンクロール (AliyunServiceRoleForCloudSSO) を自動的に削除します。