このトピックでは、CloudSSOとResource Directoryを使用して、企業の複数のアカウントのIDと権限を一元管理する方法について説明します。
シナリオ
CloudSSOはAlibaba Cloud Resource Directoryと統合されており、集中的なマルチアカウントID管理とアクセス制御を提供します。 CloudSSO管理者は、複数のCloudSSOユーザーを作成し、リソースディレクトリ内のメンバーのアクセス許可をCloudSSOユーザーに集中的に付与できます。 CloudSSOは、統合されたユーザーポータルを提供します。 CloudSSOユーザーがユーザーポータルにログインした後、CloudSSOユーザーは、リソースディレクトリでアクセスできるすべてのメンバーと、CloudSSOユーザーに付与された各メンバーのアクセス権限を表示できます。 CloudSSOユーザーは、権限に基づいてメンバー内のリソースにアクセスできます。
このトピックでは、リソースディレクトリ内のメンバーのアクセス権限をCloudSSOユーザーに付与する方法の例を示します。 この例では、リソースディレクトリの管理アカウントを使用してuser1という名前のCloudSSOユーザーを作成し、アクセス設定をリソースディレクトリのメンバーのSandboxアカウントにプロビジョニングします。 アクセス設定は、仮想プライベートクラウド (VPC) リソースに対するアクセス許可のみを定義します。 プロビジョニング後、user1はSandboxアカウント内のVPCリソースにのみアクセスできます。
前提条件
リソースディレクトリが有効になり、必要なAlibaba Cloudアカウントがリソースディレクトリに追加されます。
詳細については、「リソースディレクトリの概要」および「リソースディレクトリの有効化」をご参照ください。
CloudSSOが有効化され、CloudSSOディレクトリが作成されます。
詳細については、「CloudSSOとは」、「CloudSSOの有効化」、および「CloudSSOディレクトリの作成」をご参照ください。
リソースディレクトリの管理アカウント内にAliyunCloudSSOFullAccessポリシーがアタッチされているRAMユーザーが用意されています。 このトピックで説明する操作は、リソースディレクトリまたはRAMユーザーの管理アカウントのみを使用して実行できます。
手順
CloudSSOコンソールにログインします。
CloudSSOユーザーを作成します。
この例では、user1という名前のCloudSSOユーザーが作成されます。
詳細については、「ユーザーの作成」をご参照ください。
CloudSSOユーザーのユーザー名-パスワードログインを有効にします。
詳細については、「ユーザー名とパスワードのログインの有効化」をご参照ください。
アクセス設定を作成します。
この例では、アクセス設定にAliyunVPCFullAccessシステムポリシーが含まれ、インラインポリシーは含まれません。
CloudSSOユーザーに、リソースディレクトリ内のメンバー内のリソースへのアクセスを許可します。
この例では、user1は、リソースディレクトリ内のメンバーのSandboxアカウント内のVPCリソースにアクセスする権限を与えられています。
詳細については、「リソースディレクトリ内のアカウントへのアクセス権限の割り当て」をご参照ください。
リソースディレクトリ内のメンバー内のリソースにCloudSSOユーザーとしてアクセスします。
CloudSSOユーザーのユーザー名とパスワードを使用して、CloudSSOユーザーポータルにログインします。 この例では、user1のユーザ名とパスワードが使用されます。
メンバーのサンドボックスアカウントを選択します。
RAMロールとしてSandboxアカウント内のVPCリソースにアクセスします。
詳細については、「CloudSSOユーザーポータルへのログインとAlibaba Cloudリソースへのアクセス」をご参照ください。
次に何をすべきか
上記の手順を参照して、複数のCloudSSOユーザーとアクセス設定を作成し、リソースディレクトリ内の複数のメンバーに対してCloudSSOユーザーにアクセス権限を付与できます。 これにより、複数のAlibaba CloudアカウントのIDと権限を一元管理できます。 IDプロバイダー (IdP) のユーザーを同期し、シングルサインオン (SSO) を使用してリソースディレクトリのメンバー内のリソースにアクセスすることもできます。 詳細については、「CloudSSOとは」をご参照ください。