STSとは何ですか? - Resource Access Management - Alibaba Cloud ドキュメントセンター

Alibaba Cloud Security Token Service (STS) では、Alibaba Cloudリソースへの一時的な認証情報を管理できます。 Resource Access Management (RAM) は、RAMユーザーとRAMロールを提供します。 RAMロールには永続的なID資格情報はありません。 RAMロールは、発行されたSTSトークンを使用してAlibaba Cloudリソースにアクセスすることによってのみ引き受けられます。 STSトークンが発行されると、STSトークンの有効期間とアクセス許可を指定できます。

機能と特徴

STSトークンを使用してRAMロールを引き受ける
許可されたRAMユーザーは、AccessKeyペアを使用してAssumeRole操作を呼び出すことができます。これにより、RAMユーザーはRAMロールのSTSトークンを取得し、STSトークンを使用してAlibaba Cloudリソースにアクセスできます。
このメソッドは、クロスアカウントアクセスと一時的な承認を実装するために使用されます。詳細については、「RAMロールの設定」、「クロスアカウントリソースの権限付与とアクセス」、および「モバイルアプリにAlibaba Cloudリソースへのアクセスを許可するためのSTSトークンの使用」をご参照ください。
ロールベースのシングルサインオン (SSO) のSTSトークンの取得
AssumeRoleWithSAMLまたはAssumeRoleWithOIDC操作を呼び出して、RAMロールのSTSトークンを取得し、ロールベースSSOを実装できます。詳細については、「ロールベースの SSO の概要」または「OIDCベースSSOの概要」をご参照ください。

メリット

STSトークンは、AccessKeyペアリークのリスクを軽減します。 AccessKeyペアは、RAMユーザーの長期認証情報です。
STSトークンは一時的な資格情報です。 STSトークンの有効期間を指定できます。 STSトークンの有効期限が切れると、無効になります。したがって、STSトークンを定期的に回転させる必要はありません。
カスタムポリシーをSTSトークンにアタッチして、柔軟できめ細かい認証を行うことができます。

用語

期間	説明
RAM ユーザー	固定IDと資格情報を持つ物理ID。 RAMユーザーは、人またはアプリケーションを表します。 Alibaba Cloudアカウントは複数のRAMユーザーを作成できます。 RAMユーザーは、企業内の従業員、システム、およびアプリケーションを表すために使用できます。 RAM ユーザーはリソースを所有しません。 RAMユーザーによって生成された料金は、RAMユーザーが属するAlibaba Cloudアカウントに請求されます。 RAM ユーザーは個別の請求書を受け取らず、支払いもできません。 RAMユーザーは、自分が所属するAlibaba Cloudアカウントにのみ表示されます。 RAMユーザーがAlibaba Cloud管理コンソールにログインするか、操作を呼び出す前に、Alibaba Cloudアカウントによって承認されている必要があります。権限付与後、RAMユーザーはAlibaba Cloudアカウントが所有するリソースを管理できます。詳細については、「RAM ユーザーの概要」および「RAMユーザーの作成」をご参照ください。
RAM ロール	ポリシーをアタッチできる仮想ID。 RAMロールにはログインパスワードまたはAccessKeyペアはありません。 RAMロールは、信頼できるエンティティによって引き受けられる必要があります。信頼エンティティは、RAMユーザー、Alibaba Cloudサービス、またはIDプロバイダー (IdP) です。信頼できるエンティティがRAMロールを引き受ける場合、信頼できるエンティティはRAMロールのSTSトークンを取得して使用し、RAMロールが権限を持つリソースにアクセスできます。 RAMロールは、信頼できるエンティティに基づいて次のタイプに分類されます。 Alibaba Cloudアカウント: 信頼できるAlibaba CloudアカウントのRAMユーザーは、このタイプのRAMロールを引き受けることができます。このタイプのRAMロールを引き受けるRAMユーザーは、自分のAlibaba Cloudアカウントまたは他のAlibaba Cloudアカウントに所属できます。このタイプのRAMロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。 Alibaba Cloudサービス: Alibaba Cloudサービスは、このタイプのRAMロールを引き受けることができます。このタイプのRAMロールは、Alibaba Cloudサービスにリソースの管理を許可するために使用されます。 IdP: 信頼できるIdPのユーザーは、このタイプのRAMロールを引き受けることができます。このタイプのRAMロールは、Alibaba Cloudと信頼できるIdPの間にSSOを実装するために使用されます。詳細については、RAM ロール、信頼できるAlibaba CloudアカウントのRAMロールの作成、信頼できるIdPのRAMロールの作成、および信頼できるAlibaba CloudサービスのRAMロールの作成をご参照ください。
RAMロールのAlibaba Cloudリソース名 (ARN)	RAMロールのARNは、RAMロールのグローバルに一意のリソース識別子です。 ARNは、Alibaba Cloudが提供するARN命名規則に従います。たとえば、Alibaba Cloudアカウントに属するdevops RAMロールのARNは、`acs:ram::123456789012 **:role/samplerole`です。 RAMロールを作成したら、RAMロール名をクリックし、[基本情報]** セクションでRAMロールのARNを見つけます。
信頼できるエンティティ	RAMロールを引き受けることを任されているエンティティ。 RAMロールを作成するときは、信頼できるエンティティを指定する必要があります。信頼できるエンティティのみがRAMロールを引き受けることができます。信頼できるエンティティは、Alibaba Cloudアカウント、Alibaba Cloudサービス、またはIdPです。
policy	ポリシー構造と構文に基づいて記述される一連の権限。ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。ポリシーは、一連の権限を記述する単純な言語仕様の一種です。 1つ以上のポリシーをRAMロールにアタッチできます。ポリシーのないRAMロールは、Alibaba Cloudリソースにアクセスできません。
ロールの引き受け	エンティティがRAMロールのSTSトークンを取得するためのメソッド。エンティティユーザーは、AssumeRole STS APIを呼び出して、RAMロールのSTSトークンを取得できます。その後、エンティティユーザーはSTSトークンを使用してAlibaba CloudサービスのAPI操作を呼び出すことができます。

STSで動作するサービス

詳細については、「STS をサポートする Alibaba Cloud サービス」をご参照ください。