すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAMロールを作成し、必要なポリシーをロールにアタッチする

    ドキュメントセンター

    Resource Access Management:RAMロールを作成し、必要なポリシーをロールにアタッチする

    最終更新日:Dec 31, 2024

    リソースアクセス管理 (RAM) ロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 信頼できるエンティティがRAMロールを引き受けると、信頼できるエンティティはSTS (Security Token Service) トークンを取得し、STSトークンを使用してRAMロールとしてAlibaba Cloudリソースにアクセスできます。

    RAMロールタイプ

    RAMロールは、信頼できるエンティティに基づいて次のタイプに分類されます。

    • 信頼できるエンティティがAlibaba CloudアカウントであるRAMロール: Alibaba Cloudアカウント内のRAMユーザーは、このタイプのRAMロールを引き受けることができます。 このタイプのRAMロールを引き受けるRAMユーザーは、所有者のAlibaba Cloudアカウントまたは他のAlibaba Cloudアカウントに所属できます。 このタイプのRAMロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。

    • 信頼できるエンティティがAlibaba CloudサービスであるRAMロール: Alibaba Cloudサービスは、このタイプのRAMロールを引き受けることができます。 信頼できるAlibaba Cloudサービスが引き受けることができるRAMロールは、通常のサービスロールとサービスにリンクされたロールの2種類に分類されます。 サービスにリンクされたロールの詳細については、「サービスにリンクされたロール」をご参照ください。 このタイプのRAMロールは、Alibaba Cloudサービス全体のアクセスを許可するために使用されます。

    • 信頼できるエンティティがIDプロバイダー (IdP) であるRAMロール: 信頼できるIdPのユーザーは、このタイプのRAMロールを引き受けることができます。 このタイプのRAMロールは、Alibaba Cloudと信頼できるIdP間でロールベースのシングルサインオン (SSO) を実装するために使用されます。

    ステップ1: RAMロールの作成

    RAMロールの作成に使用できる方法は、RAMロールのタイプによって異なります。 次の例では、信頼できるエンティティがAlibaba CloudアカウントであるRAMロールを作成する方法について説明します。 詳細については、信頼できるAlibaba CloudアカウントのRAMロールの作成信頼できるAlibaba CloudサービスのRAMロールの作成、および信頼できるIdPのRAMロールの作成をご参照ください。

    1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ロールを選択します。

    3. ロールページで、ロールの作成をクリックします。 image

    4. ロールの作成ページで、[ロールタイプの選択] セクションのAlibaba Cloudアカウントを選択して、次へをクリックします。image

    5. RAMロールのパラメーターを設定します。

      1. RAMロール名を指定します。

      2. を指定します。

      3. [信頼できるAlibaba Cloudアカウントの選択] セクションで、現在のAlibaba Cloudアカウントまたはその他のAlibaba Cloudアカウントを選択します。

        • 現在のAlibaba Cloudアカウント: Alibaba Cloudアカウントに属するRAMユーザーにRAMロールを引き受けたい場合は、[現在のAlibaba Cloudアカウント] を選択します。

        • その他のAlibaba Cloudアカウント: 別のAlibaba Cloudアカウントに属するRAMユーザーにRAMロールを引き受けたい場合は、その他のAlibaba Cloudアカウントを選択し、Alibaba CloudアカウントのIDを入力します。 このオプションは、異なるAlibaba Cloudアカウントに属するリソースに対する権限を付与するために提供されます。 詳細については、「RAMロールを使用してAlibaba Cloudアカウント全体に権限を付与する」をご参照ください。

          Alibaba CloudアカウントのIDを[セキュリティ設定]

          ページで表示します。

        重要

        Alibaba Cloudアカウントに属するすべてのRAMユーザーではなく、特定のRAMユーザーにRAMロールを引き受けたい場合は、次のいずれかの方法を使用できます。

    6. [OK] をクリックします。

    7. 閉じるをクリックします。

    手順2: (オプション) カスタムポリシーの作成

    RAMは、システムポリシーとカスタムポリシーを提供します。 システムポリシーはAlibaba Cloudによって提供されており、変更することはできません。 システムポリシーがビジネス要件を満たせない場合は、カスタムポリシーを作成して、きめ細かいアクセス制御を実装できます。

    さまざまな方法でカスタムポリシーを作成できます。 この例では、カスタムポリシーは [Visual editor] タブで作成されます。 詳細については、「カスタムポリシーの作成」をご参照ください。

    1. 管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、権限 > ポリシーを選択します。

    3. ポリシーページで、ポリシーの作成をクリックします。

    4. ポリシーの作成ページで、ビジュアルエディタタブをクリックします。

    5. ポリシーを設定します。

      1. 効果セクションで、許可または拒否を選択します。

      2. サービスセクションで、Alibaba Cloudサービスを選択します。

        説明

        選択できるAlibaba Cloudサービスが [サービス] セクションに表示されます。

      3. アクションセクションで、すべてのアクションまたはアクションの選択を選択します。

        前の手順で選択したAlibaba Cloudサービスに基づいて設定できるアクションが表示されます。 [アクションの選択] を選択した場合は、アクションを選択する必要があります。

      4. リソースセクションで、すべてのリソースまたは指定されたリソースを選択します。

        前の手順で選択した操作に基づいて構成できるリソースが表示されます。 [指定されたリソース] を選択した場合、[リソースの追加] をクリックして、リソースの1つ以上のAlibaba Cloudリソース名 (ARN) を設定する必要があります。 [すべて一致] をクリックして、選択した各アクションのすべてのリソースを選択することもできます。

        説明

        操作に必要なリソースの ARN は、[Required] でタグ付けされます。 Required でタグ付けされたリソースの ARN を設定することを強く推奨します。 これにより、カスタムポリシーが期待どおりに有効になります。

      5. 条件セクションで、条件の追加をクリックして条件を設定します。

        条件には、Alibaba Cloud の共通条件とサービス固有の条件が含まれます。 システムにより、選択した操作と Alibaba Cloud サービスに基づいて設定可能な操作が表示されます。 条件キーを選択し、OperatorパラメーターとValueパラメーターを設定するだけです。

      6. ステートメントの追加をクリックして上記の手順を繰り返して、複数のカスタムポリシーステートメントを設定します。

    6. 名前説明パラメーターを設定します。

    7. カスタムポリシーの内容を確認して最適化します。

      • 基本的な最適化

        システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。

        • 不要な条件が削除されます。

        • 不要な配列が削除されます。

      • (オプション) 高度な最適化

        ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。

        • 操作と互換性のないリソースまたは条件が分割されます。

        • リソースが絞り込まれます。

        • ポリシーステートメントの重複排除またはマージが行われます。

    8. OKをクリックします。

    手順3: RAMロールに権限を付与

    RAMロールに権限を付与する場合は、最小権限の原則に基づいて、必要な権限のみをRAMロールに付与することをお勧めします。

    1. RAM管理者としてRAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ロールを選択します。

    3. ロールページで、管理するRAMロールを見つけて、アクション列の権限付与をクリックします。

      image

      複数のRAMロールを選択し、RAMロールリストの下部にある [権限の付与] をクリックして、一度に複数のRAMロールに権限を付与することもできます。

    4. 権限付与パネルで、RAMロールに権限を付与します。

      1. Resource Scopeパラメーターを設定します。

        • アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。

        • リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。

          説明

          [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。

      2. Principalパラメーターを設定します。

        プリンシパルは、権限を付与するRAMロールです。 現在のRAMロールが自動的に選択されます。

      3. Policyパラメーターを設定します。

        ポリシーは一連のアクセス権限です。 一度に複数のポリシーを選択できます。

        • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

          説明

          システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

        • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。

      4. [権限付与] をクリックします。

    5. 閉じるをクリックします。

    手順4: RAMロールが信頼できるエンティティを使用してAlibaba Cloudにアクセスすると仮定する

    1. Alibaba Cloud管理コンソールで、または操作を呼び出して、RAMロールのSTSトークンを取得します。 詳細については、以下のトピックをご参照ください。

    2. RAMロールが特定のAlibaba Cloudリソースにアクセスすると仮定します。