RAMロールの信頼ポリシーの編集 - Resource Access Management

RAMロールにアタッチされている信頼ポリシーを編集して、RAMロールの信頼済みエンティティを変更できます。このトピックでは、RAMロールの信頼できるエンティティをAlibaba Cloudアカウント、Alibaba Cloudサービス、またはIDプロバイダー (IdP) に変更する方法について説明します。

背景情報

RAMロールを作成するときに、Alibaba Cloudアカウント、Alibaba Cloudサービス、またはIdPをRAMロールの信頼できるエンティティとして指定できます。ほとんどの場合、RAMロールの作成後に信頼できるエンティティを変更する必要はありません。信頼できるエンティティを変更する必要がある場合は、このトピックで説明する方法のいずれかを使用できます。

警告

RAMロールの信頼ポリシーで信頼できるエンティティを変更すると、ワークロードが影響を受ける可能性があります。信頼できるエンティティを変更する前に、テストアカウントを使用してテストを実行することを推奨します。

手順

管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、アイデンティティ > ロールを選択します。
ロールページで、作成したRAMロールの名前をクリックします。
信頼ポリシータブで、信頼ポリシーの編集をクリックします。
信頼ポリシーの内容を変更し、信頼ポリシードキュメントの保存をクリックします。

例1: RAMロールの信頼できるエンティティをAlibaba Cloudアカウントに変更する

ポリシーのPrincipal要素にRAMフィールドが含まれている場合、信頼できるエンティティはAlibaba Cloudアカウントです。ポリシーがアタッチされているRAMロールは、許可されたRAMユーザーと信頼できるAlibaba CloudアカウントのRAMロールによって引き受けられます。

RAMロールは、信頼できるAlibaba CloudアカウントのすべてのRAMユーザーとRAMロールによって引き受けられます。
次のポリシーでは、RAMロールは、IDが123456789012 **** であるAlibaba CloudアカウントのすべてのRAMユーザーとRAMロールによって引き受けられます。
```
{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:root"
                ]
            }
        }
    ],
    "Version": "1"
}
```
RAMロールは、信頼できるAlibaba Cloudアカウントの特定のRAMユーザーのみが引き受けることができます。
次のコードに基づいてPrincipal要素を再設定した場合、RAMロールは、IDが123456789012**** のAlibaba Cloudアカウントのtestuserという名前のRAMユーザーのみが引き受けることができます。
```
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:user/testuser"
                ]
            }                   
```
説明
信頼ポリシーを編集する前に、testuserという名前のRAMユーザーが作成されていることを確認してください。
RAMロールは、信頼できるAlibaba Cloudアカウントの指定されたRAMロールによってのみ引き受けられます。
次のコードに基づいてPrincipal要素を再設定した場合、RAMロールは、IDが123456789012**** のAlibaba Cloudアカウントのtestroleという名前のRAMロールによってのみ引き受けることができます。
```
            "Principal": {
                "RAM": [
                    "acs:ram::123456789012****:role/testrole"                
                ]
            }                                 
```
説明
信頼ポリシーを編集する前に、testroleという名前のRAMロールが作成されていることを確認してください。

例2: RAMロールの信頼できるエンティティをAlibaba Cloudサービスに変更する

ポリシーのPrincipal要素にServiceフィールドが含まれている場合、信頼できるエンティティはAlibaba Cloudサービスです。ポリシーがアタッチされているRAMロールは、現在のAlibaba Cloudアカウントの信頼できるAlibaba Cloudサービスによって引き受けられます。

次のポリシーでは、現在のAlibaba CloudアカウントのElastic Compute Service (ECS) がRAMロールを引き受けることができます。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ecs.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

説明

サービスにリンクされたロールにアタッチされているポリシーの信頼できるエンティティは、このポリシーがリンクされたサービスによって定義されているため、変更できません。詳細については、「サービスにリンクされたロール」をご参照ください。

例3: RAMロールの信頼できるエンティティをIdPに変更する

Principal要素にFederatedフィールドが含まれている場合、信頼できるエンティティはIdPです。 RAMロールは、IdPのすべてのユーザーが引き受けることができます。

次のポリシーでは、IDが123456789012**** のAlibaba Cloudアカウントのtestproviderという名前のIdPのすべてのユーザーがRAMロールを引き受けることができます。

{
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Federated": [
                    "acs:ram::123456789012****:saml-provider/testprovider"
                ]
            },
            "Condition":{
                "StringEquals":{
                    "saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
                }
            }
        }
    ],
    "Version": "1"
}