すべてのプロダクト
Search

このプロダクト

    Resource Access Management:RAM ロールの引き受け

    ドキュメントセンター

    Resource Access Management:RAM ロールの引き受け

    最終更新日:Oct 31, 2024

    このトピックでは、Alibaba Cloud管理コンソールまたはRAM APIを使用して、信頼できるエンティティがAlibaba CloudアカウントであるRAMロールをRAMユーザーとして引き受ける方法について説明します。

    前提条件

    RAMロールを引き受ける前に、次の条件が満たされていることを確認してください。

    1. RAM ユーザーを作成します。

      詳細については、「RAM ユーザーの作成」をご参照ください。

    2. RAMユーザーがRAMロールを引き受けることを許可する権限は、RAMユーザーに付与されます。

      • RAMユーザーがすべてのRAMロールを引き受けることを許可するには、RAMユーザーにシステムポリシーAliyunSTSAssumeRoleAccessをアタッチします。

      • RAMユーザーが特定のRAMロールを引き受けることを許可するには、RAMユーザーにカスタムポリシーをアタッチします。 詳細については、「RAMユーザーが引き受けることができるRAMロールを指定できますか?」をご参照ください。

      詳細については、「RAMユーザーへの権限付与」をご参照ください。

    Alibaba Cloud管理コンソールの使用

    RAMユーザーとしてAlibaba Cloud管理コンソールにログインした後、ログインIDをRAMロールに切り替えることができます。パスワードまたはロールベースのシングルサインオン (SSO) を使用して、RAMコンソールにログインすることもできます。

    1. RAMユーザーとしてRAMコンソールにログインします。

    2. コンソールの右上隅にあるプロフィール写真の上にポインターを移動し、切り替えIDをクリックします。

      切换身份

    3. ロールの切り替えページでパラメーターを設定します。

      RAM角色登录

      1. RAMロールが属するAlibaba Cloudアカウントのエンタープライズエイリアス (アカウントエイリアス) 、デフォルトドメイン名、またはIDを入力します。 詳細については、「デフォルトドメイン名の表示と変更」をご参照ください。

      2. RAMロールの名前を入力します。 詳細については、「RAMロールに関する情報の表示」をご参照ください。

    4. 送信をクリックします。

      切り替えが完了すると、ログインIDがRAMロールに変更され、RAMユーザーにはRAMロールに付与された権限が付与されます。

      Alibaba Cloud管理コンソールの右上隅にあるプロファイル画像の上にポインターを移動して、ログインIDと現在のIDを表示できます。

      角色切换成功

      次の表に、ログオンIDと現在のIDを示します。 My Identityパラメーターは、現在のIDを示します。

      ログオンタイプ

      ログオンID

      現在のID

      パスワードベースのログオン

      形式は <ログインRAMユーザーのユーザー名> です。

      形式は <RoleName>/<RoleSessionName> です。

      • RoleName: RAMユーザーが引き受けるロールの名前

      • RoleSessionName: RAMユーザーのユーザー名

      ロールベース SSO

      RAMロールとしてRAMコンソールにログインすると、現在のIDのみが表示されます。 ログオンIDは表示されません。

      ログオンIDを別のRAMロールに切り替えると、ログオンIDは <RoleName>/<RoleSessionName> の形式で表示されます。

      • RoleName: SSOに使用されるロールの名前

      • RoleSessionName: ロールベースSSO認証レスポンスのRoleSessionName属性

      たとえば、信頼できるIdPのtom@example.localユーザーがRAMロールのtest-saml-role1としてAlibaba Cloud管理コンソールにログインし、IDをRAMロールalice-testroleに切り替えた場合、ログインIDはtest-saml-role1/tom@example.localになります。

      形式は <RoleName>/<RoleSessionName> です。

      • RoleName: RAMユーザーが引き受けるロールの名前

      • RoleSessionName: ロールベースSSO認証レスポンスのRoleSessionName属性

      たとえば、信頼できるIdPのtom@example.localユーザーがRAMロールのtest-saml-role1としてAlibaba Cloud管理コンソールにログインした場合、現在のIDはtest-saml-role1/tom@example.localです。 tom@example.localユーザーがIDをRAMロールalice-testroleに切り替えた場合、現在のIDはalice-testrole/tom@example.localです。 RoleSessionNameの値は変更されません。

      [Maximum Session Duration][Logon Session Valid For] パラメーターの小さい方の値が、RAMロールの最大セッション期間として使用されます。 詳細については、「RAMロールの最大セッション期間の指定」および「RAMユーザーのセキュリティ設定の管理」をご参照ください。

    RAM APIの使用

    許可されたRAMユーザーは、AccessKeyペアを使用してAssumeRole操作を呼び出すことができます。 これにより、RAMユーザーはSecurity Token Service (STS) トークンを取得し、STSトークンを使用してAlibaba Cloudリソースにアクセスできます。 詳細については、「AssumeRole」をご参照ください。

    説明

    取得したSTSトークンが開示されている場合は、すべてのSTSトークンを無効にできます。 詳細については、「STSトークンが公開された場合はどうすればよいですか?」をご参照ください。

    関連ドキュメント