RAMロールにアタッチされている信頼ポリシーを編集して、RAMロールの信頼済みエンティティを変更できます。 このトピックでは、RAMロールの信頼できるエンティティをAlibaba Cloudアカウント、Alibaba Cloudサービス、またはIDプロバイダー (IdP) に変更する方法について説明します。
背景情報
RAMロールを作成するときに、Alibaba Cloudアカウント、Alibaba Cloudサービス、またはIdPをRAMロールの信頼できるエンティティとして指定できます。 ほとんどの場合、RAMロールの作成後に信頼できるエンティティを変更する必要はありません。 信頼できるエンティティを変更する必要がある場合は、このトピックで説明する方法のいずれかを使用できます。
RAMロールの信頼ポリシーで信頼できるエンティティを変更すると、ワークロードが影響を受ける可能性があります。 信頼できるエンティティを変更する前に、テストアカウントを使用してテストを実行することを推奨します。
手順
管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
ロールページで、作成したRAMロールの名前をクリックします。
信頼ポリシータブで、信頼ポリシーの編集をクリックします。
信頼ポリシーの内容を変更し、信頼ポリシードキュメントの保存をクリックします。
例1: RAMロールの信頼できるエンティティをAlibaba Cloudアカウントに変更する
ポリシーのPrincipal
要素にRAM
フィールドが含まれている場合、信頼できるエンティティはAlibaba Cloudアカウントです。 ポリシーがアタッチされているRAMロールは、許可されたRAMユーザーと信頼できるAlibaba CloudアカウントのRAMロールによって引き受けられます。
RAMロールは、信頼できるAlibaba CloudアカウントのすべてのRAMユーザーとRAMロールによって引き受けられます。
次のポリシーでは、RAMロールは、IDが123456789012 **** であるAlibaba CloudアカウントのすべてのRAMユーザーとRAMロールによって引き受けられます。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::123456789012****:root" ] } } ], "Version": "1" }
RAMロールは、信頼できるAlibaba Cloudアカウントの特定のRAMユーザーのみが引き受けることができます。
次のコードに基づいて
Principal
要素を再設定した場合、RAMロールは、IDが123456789012**** のAlibaba Cloudアカウントのtestuser
という名前のRAMユーザーのみが引き受けることができます。"Principal": { "RAM": [ "acs:ram::123456789012****:user/testuser" ] }
説明信頼ポリシーを編集する前に、
testuser
という名前のRAMユーザーが作成されていることを確認してください。RAMロールは、信頼できるAlibaba Cloudアカウントの指定されたRAMロールによってのみ引き受けられます。
次のコードに基づいて
Principal
要素を再設定した場合、RAMロールは、IDが123456789012**** のAlibaba Cloudアカウントのtestrole
という名前のRAMロールによってのみ引き受けることができます。"Principal": { "RAM": [ "acs:ram::123456789012****:role/testrole" ] }
説明信頼ポリシーを編集する前に、
testrole
という名前のRAMロールが作成されていることを確認してください。
例2: RAMロールの信頼できるエンティティをAlibaba Cloudサービスに変更する
ポリシーのPrincipal
要素にService
フィールドが含まれている場合、信頼できるエンティティはAlibaba Cloudサービスです。 ポリシーがアタッチされているRAMロールは、現在のAlibaba Cloudアカウントの信頼できるAlibaba Cloudサービスによって引き受けられます。
次のポリシーでは、現在のAlibaba CloudアカウントのElastic Compute Service (ECS) がRAMロールを引き受けることができます。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"ecs.aliyuncs.com"
]
}
}
],
"Version": "1"
}
サービスにリンクされたロールにアタッチされているポリシーの信頼できるエンティティは、このポリシーがリンクされたサービスによって定義されているため、変更できません。 詳細については、「サービスにリンクされたロール」をご参照ください。
例3: RAMロールの信頼できるエンティティをIdPに変更する
Principal
要素にFederated
フィールドが含まれている場合、信頼できるエンティティはIdPです。 RAMロールは、IdPのすべてのユーザーが引き受けることができます。
次のポリシーでは、IDが123456789012**** のAlibaba Cloudアカウントのtestprovider
という名前のIdPのすべてのユーザーがRAMロールを引き受けることができます。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Federated": [
"acs:ram::123456789012****:saml-provider/testprovider"
]
},
"Condition":{
"StringEquals":{
"saml:recipient":"https://signin.alibabacloud.com/saml-role/sso"
}
}
}
],
"Version": "1"
}