このトピックでは、メンバーの管理に関するよくある質問の回答を提供しています。
メンバーを使用した基本操作
管理アカウント、メンバー、リソースアカウント、クラウドアカウント、ルートユーザー、RAMユーザーの違いは何ですか?
管理アカウント
管理アカウントは、 エンタープライズ検証に合格したAlibaba Cloudアカウントです。 このAlibaba Cloudアカウントを使用してリソースディレクトリを有効にすると、アカウントはリソースディレクトリの管理アカウントになります。 管理アカウントは、リソースディレクトリのスーパー管理者です。 リソースディレクトリ、およびリソースディレクトリ内のフォルダーとメンバーに対するすべての管理権限があります。 各リソースディレクトリの管理アカウントは 1 つだけです。
メンバー
メンバーには、リソースアカウントとクラウドアカウントがあります。 リソースディレクトリに作成されるメンバーは、リソースアカウントです。 リソースアカウントは、Alibaba Cloud 上のプロジェクトまたはアプリケーションのリソースを、他のリソースから分離するために使用されます。 リソースディレクトリには、既存の Alibaba Cloud アカウントを招待できます。 Alibaba Cloud アカウントの所有者が招待を承諾すると、そのアカウントはリソースディレクトリのメンバーになります。 これらのメンバーは、クラウドアカウントとなります。
リソースアカウント
リソースディレクトリに作成されるメンバーは、リソースアカウントです。 Alibaba Cloudアカウントのルートユーザーは、アカウントの管理者です。 リソースアカウントの root ユーザーは無効になっています。 そのため、リソースアカウントではより高いセキュリティが確保されます。 リソースアカウントの作成方法の詳細については、「メンバーの作成」をご参照ください。
クラウドアカウント
リソースディレクトリへの参加を招待されるメンバーは、クラウドアカウントです。 クラウドアカウントにはルートユーザーが存在します。 Alibaba Cloudアカウントをリソースディレクトリに招待する方法の詳細については、「Alibaba Cloudアカウントをリソースディレクトリに招待する」をご参照ください。
ルートユーザー
ルートユーザーはAlibaba CloudアカウントIDを参照し、関連するAlibaba Cloudアカウント内のリソースに対するすべての管理権限を持ちます。 Alibaba Cloudアカウントのユーザー名とパスワードを使用してAlibaba Cloud管理コンソールにログインすると、アカウントのルートユーザーとしてコンソールにログインします。
アカウントのセキュリティを確保し、ルートユーザーのログインパスワードまたはAccessKey ペアを他のユーザーと共有しないようにするには、管理アカウントまたは各クラウドアカウント用に RAM ユーザーを作成し、RAM ユーザーに必要な権限を付与してから、RAM ユーザーとして関連する操作を実行することを推奨します。
RAMユーザー
RAM ユーザーは、RAM に固定 ID と資格情報を持つ物理 ID です。RAM ユーザーは、人またはアプリケーションを表します。 Alibaba Cloudアカウント内でRAMユーザーを作成し、RAMユーザーに異なるリソースへのアクセスを許可できます。
メンバーを使用してAlibaba Cloud管理コンソールにログインするにはどうすればよいですか?
ログオン方法 | 説明 | 該当するメンバータイプ | 関連ドキュメント |
リソースディレクトリの管理アカウントのRAMユーザーを使用して、リソースディレクトリのメンバーのRAMロールを引き受け、Alibaba Cloud管理コンソールにログインします。 | システムは、リソースディレクトリ内の各メンバーに対してResourceDirectoryAccountAccessRoleという名前のRAMロールを自動的に作成し、リソースディレクトリの管理アカウントをRAMロールの信頼できるエンティティとして指定します。 これにより、管理アカウントには、リソースディレクトリ内のすべてのメンバーのRAMロールを引き受け、Alibaba Cloud管理コンソールにログインする権限が付与されます。 リソースディレクトリの管理アカウントを使用して、RAMユーザーを作成し、RAMユーザーに管理権限を付与できます。 次に、RAMユーザーを使用して、リソースディレクトリのメンバーのRAMロールResourceDirectoryAccountAccessRoleを引き受け、Alibaba Cloud管理コンソールにログインできます。 |
| |
メンバー用に作成されたRAMユーザーを使用してAlibaba Cloud管理コンソールにログインする | リソースディレクトリの管理アカウントのRAMユーザーを使用して、リソースディレクトリのメンバーのRAMロールを引き受け、Alibaba Cloud管理コンソールにログインした後、メンバーのRAMユーザーを作成し、RAMユーザーに必要な権限を付与できます。 そして、メンバー用に作成された RAM ユーザーとして Alibaba Cloud 管理コンソールにログインします。 | ||
メンバーのルートユーザーを使用してAlibaba Cloud管理コンソールにログインします (推奨しません) 。 | リソースディレクトリのクラウドアカウントタイプのメンバーを使用して Alibaba Cloud 管理コンソールにログインする場合は、メンバーの root ユーザーのユーザー名とパスワードを使用できます。 ただし、セキュリティ上の理由から、この方法は使用しないことを推奨します。 | リソースディレクトリにメンバーとして参加するよう招待されたAlibaba Cloudアカウント。 これらのメンバーはクラウドアカウントタイプです。 | |
CloudSSOユーザーを使用したAlibaba Cloud管理コンソールへのログイン | CloudSSOはAlibaba Cloud Resource Directoryと統合されており、複数のアカウントのIDとアクセス許可を一元管理するのに役立ちます。 CloudSSOを有効化し、リソースディレクトリ内のメンバーのアクセス権限をCloudSSOユーザーに付与すると、CloudSSOユーザーはCloudSSOユーザーポータルにログインし、関連するアクセス設定に基づいてメンバーのリソースにアクセスできます。 | CloudSSOユーザー。 |
メンバーのルートユーザーを使用してAlibaba Cloud管理コンソールにログインするにはどうすればよいですか?
セキュリティ上の理由から、ルートユーザーではなく RAM ユーザーまたは RAM ロールを使用して Alibaba Cloud 管理コンソールにログインすることを推奨します。
メンバーのルートユーザーは、メンバーの Alibaba Cloud アカウント ID を参照します。 さまざまな種類のメンバーでサポートされているログオン ID について、以下で詳しく説明します。
クラウドアカウントタイプのメンバー:このタイプのメンバーは、リソースディレクトリへの参加を招待された Alibaba Cloud アカウントです。 ここでのメンバーのユーザー名とパスワードを使用して、Alibaba Cloud 管理コンソールにログインできます。 詳細については、「Alibaba Cloud管理コンソールにメンバーのルートユーザーとしてログインする」をご参照ください。
リソースアカウントタイプのメンバー:このタイプのメンバーは、リソースディレクトリに直接作成されます。ルートユーザーは存在しません。 Alibaba Cloud 管理コンソールにログインするために使用できるのは、メンバー内の RAM ユーザーまたは RAM ロールのみです。 ルートユーザーを使用して Alibaba Cloud 管理コンソールにログインする場合は、メンバーをリソースアカウントからクラウドアカウントに切り替える必要があります。 リソースアカウントからクラウドアカウントにメンバーを切り替えるには、次の手順を実行します。
メンバーに携帯電話番号をバインドするか、メンバーのメールアドレスを変更します。
詳細については、「携帯電話番号をリソースアカウントにバインドする」または「メンバーのアカウント名 (安全なメールアドレス) を変更する」をご参照ください。
メンバーをリソースアカウントからクラウドアカウントに切り替えます。
詳細については、「リソースアカウントをクラウドアカウントに切り替える」をご参照ください。
メンバーのパスワードをリセットします。
パスワード取得機能を使用してパスワードをリセットします。
メンバーのユーザー名とパスワードを使用して、Alibaba Cloud 管理コンソールにログインできます。
詳細については、「Alibaba Cloud管理コンソールにメンバーのルートユーザーとしてログインする」をご参照ください。
メンバーのルートユーザーを使用すると、メンバーのセキュリティリスクは高くなります。 ルートユーザーのユーザー名とパスワードは安全に管理してください。 セキュリティ上の理由から、ルートユーザーを使用した場合、できるだけ早い機会にメンバーをリソースアカウントに戻すことを推奨します。 詳細については、「クラウドアカウントからリソースアカウントへの切り替え」をご参照ください。
メンバーを使用して、メンバーが属するリソースディレクトリに関する情報を表示するにはどうすればよいですか?
メンバーとして Resource Management コンソールにログインします。
左側のナビゲーションペインで、 を選択します。
メンバーが属するリソースディレクトリに関する情報と、メンバーに関する基本情報が表示されます。
[メンバー情報] ページの [リソースディレクトリ情報] セクションで、メンバーが属するリソースディレクトリに関する情報が表示されます。
この情報には、リソースディレクトリ ID、作成日時、管理アカウント、企業名が含まれます。
[メンバー情報] ページの [メンバー情報] セクションで、メンバーに関する基本情報が表示されます。
この情報には、リソースディレクトリ内の場所、RDPath、表示名、および参加日時が含まれます。
メンバーの削除
メンバーを削除するにはどうすればよいですか?
詳細については、「リソースアカウントタイプのメンバーの削除」をご参照ください。
メンバーを削除できないのはなぜですか?
メンバーを削除する前に、メンバー削除機能を有効にするには、リソースディレクトリの管理アカウントのrootユーザーを使用するか、管理アカウント内でAliyunResourceDirectoryFullAccessポリシーがアタッチされているRAMユーザーまたはRAMロールを使用する必要があります。 メンバー削除機能を有効にする方法については、「メンバー削除機能の有効化」をご参照ください。
メンバーを削除するには、リソースディレクトリの管理アカウント内でAliyunResourceDirectoryFullAccessポリシーがアタッチされているRAMユーザーまたはRAMロールのみを使用できます。 管理アカウントのルートユーザーを使用してメンバーを削除することはできません。 詳細については、「リソースアカウントタイプのメンバーの削除」をご参照ください。
リソースアカウントタイプのメンバーのみ削除できます。
どのタイプのメンバーを削除できますか?
リソースアカウントタイプのメンバーのみ削除できます。
クラウドアカウントタイプのメンバーはリソースディレクトリから削除できますが、Resource Management コンソールで削除することはできません。 クラウドアカウントタイプのメンバーがリソースディレクトリから削除されると、そのメンバーは独立した Alibaba cloud アカウントになります。 関連するプロセスに従ってアカウントを削除できます。
削除後にメンバーを回復できますか?
メンバーが削除されると、メンバー内のリソースとデータが削除されるため、メンバーを使用して Alibaba Cloud 管理コンソールにログインできなくなります。 また、メンバーを回復することはできません。 作業は慎重に行ってください。
メンバー削除の無音期間は何ですか?
請求書が作成されるメンバーはすぐには削除できません。 その代わりとして、削除をトリガーした後にメンバーは沈黙期間に入り、その間にメンバーのすべての請求書が生成されます。 以下に詳細を説明します。
沈黙期間は固定されていません。 メンバー内のリソースの種類によって異なり、3時間から45日の範囲です。
沈黙期間中は、そのメンバーを使用してリソースを購入したり、メンバー内のビジネスデータやリソースを操作したり、メンバーの削除をキャンセルしたりすることはできません。
沈黙期間が終了すると、自動的にメンバーの削除が開始されます。 あらためて削除リクエストを送信する必要はありません。
削除するメンバーにはリソースがありません。 なぜ私はまだ沈黙期間を待つ必要があるのですか?
メンバーには、請求書が生成されていないリソースがあるかもしれません。 すべての請求書が生成されるまで待機する必要があります。 これは、沈黙期間の終了後にのみ、メンバーを削除できるということを意味します。
無音期間の終了後に別の削除リクエストを送信する必要がありますか?
いいえ、削除リクエストをあらためて送信する必要はありません。 沈黙期間が終了すると、自動的にメンバーの削除が開始されます。
メンバーの無音期間の終了時間を表示するにはどうすればよいですか?
Resource Management コンソールにログインしてメンバーを確認し、[操作]列の[削除の進行状況]をクリックすると、メンバーの沈黙期間の終了時刻を表示できます。
GetAccountDeletionStatus 操作を呼び出すことができます。 応答の
DeletionTimeパラメーターの値は、無音期間の終了時間です。
メンバーの無音期間が終了した後、メンバーの削除に失敗した場合はどうすればよいですか?
沈黙期間が終了してもメンバーを削除できない場合は、メールでその旨が通知されます。 この場合、そのメンバーについて、あらためて削除リクエストを送信する必要があります。
メンバーの削除に関する通知を受け取るために使用するメールアドレスを変更するにはどうすればよいですか?
既定では、メンバー削除関連の通知は、リソースディレクトリの管理アカウントにバインドされているメールアドレスに送信されます。 通知の受信に使用するメールアドレスを変更するには、 メッセージセンターコンソールにログインし、[共通設定] ページの [製品リリースの通知] に対応する [連絡先] 列の [変更] をクリックします。 表示されるダイアログボックスで、ビジネス要件に基づいて連絡先を指定します。
メンバーの招待
アカウントの招待はどのシナリオで無効になりますか?
以下の場合は、アカウントの招待が無効になります。
招待者が、招待開始後 14 日以内に招待を確認しなかった場合。
招待元が招待をキャンセルした場合。
招待者が招待を確認しなければならない期間は限られていますか?
はい、招待者が招待を確認しなければならない期間は決められています。 招待者は、招待開始後 14 日以内に招待を確認する必要があります。 期間が経過すると、招待状のステータスは “期限切れ” に変更されます。
無効な招待状を削除できますか?
招待の有効期限が切れてから 30 日後に、無効な招待は自動的に削除されます。
招待者が招待を受け入れることができないのはなぜですか?
招待者は、招待者が以下のすべての条件を満たしている場合のみ、招待を受け入れてリソースディレクトリに参加できます。
招待者が、管理アカウントまたはリソースディレクトリのメンバーではないこと。 Alibaba Cloud アカウントは 1 つのリソースディレクトリにのみ参加できます。
招待者はエンタープライズ検証に合格しました。 エンタープライズ認証に合格していない、または個別の実名認証に合格したAlibaba Cloudアカウントは、リソースディレクトリに参加できません。
企業認証に合格していない、または個々の実名認証に合格したAlibaba Cloudアカウントは、法律で保護されておらず、リスクの高い操作を実行するために任意に使用できます。 そのようなアカウントがリソースディレクトリに参加すると、クラウド上のアセットが個人的な目的で使用される可能性があります。 これはアセットの損失とセキュリティリスクを引き起こすおそれがあります。 したがって、招待を開始し、招待を承諾できるのは企業アカウントのみです。 これは、行動責任を管理および管理し、法人内のセキュリティリスクを防止するのに役立ちます。
招待者が招待を承諾できない場合は、以下のいずれかの解決策を使用してください。
招待者がエンタープライズ検証に合格していない場合は、招待者のエンタープライズ検証を完了します。 詳細については、次をご参照ください: エンタープライズ検証。
招待者が個々の実名検証に合格した場合は、検証をエンタープライズ検証にアップグレードします。