すべてのプロダクト
Search
ドキュメントセンター

Resource Management:CloudSSOを使用して、企業の複数のアカウントのIDと権限を一元管理

最終更新日:Oct 31, 2024

このトピックでは、CloudSSOとResource Directoryを使用して、企業の複数のアカウントのIDと権限を一元管理する方法について説明します。

シナリオ

CloudSSOはAlibaba Cloud Resource Directoryと統合されており、集中的なマルチアカウントID管理とアクセス制御を提供します。 CloudSSO管理者は、複数のCloudSSOユーザーを作成し、リソースディレクトリ内のメンバーのアクセス許可をCloudSSOユーザーに集中的に付与できます。 CloudSSOは、統合されたユーザーポータルを提供します。 CloudSSOユーザーがユーザーポータルにログインした後、CloudSSOユーザーは、リソースディレクトリでアクセスできるすべてのメンバーと、CloudSSOユーザーに付与された各メンバーのアクセス権限を表示できます。 CloudSSOユーザーは、権限に基づいてメンバー内のリソースにアクセスできます。

このトピックでは、リソースディレクトリ内のメンバーのアクセス権限をCloudSSOユーザーに付与する方法の例を示します。 この例では、リソースディレクトリの管理アカウントを使用してuser1という名前のCloudSSOユーザーを作成し、アクセス設定をリソースディレクトリのメンバーのSandboxアカウントにプロビジョニングします。 アクセス設定は、仮想プライベートクラウド (VPC) リソースに対するアクセス許可のみを定義します。 プロビジョニング後、user1はSandboxアカウント内のVPCリソースにのみアクセスできます。

前提条件

  • リソースディレクトリが有効になり、必要なAlibaba Cloudアカウントがリソースディレクトリに追加されます。

    詳細については、「リソースディレクトリの概要」および「リソースディレクトリの有効化」をご参照ください。

  • CloudSSOが有効化され、CloudSSOディレクトリが作成されます。

    詳細については、「CloudSSOとは」、「CloudSSOの有効化」、および「CloudSSOディレクトリの作成」をご参照ください。

  • リソースディレクトリの管理アカウント内にAliyunCloudSSOFullAccessポリシーがアタッチされているRAMユーザーが用意されています。 このトピックで説明する操作は、リソースディレクトリまたはRAMユーザーの管理アカウントのみを使用して実行できます。

手順

  1. CloudSSOコンソールにログインします。

  2. CloudSSOユーザーを作成します。

    この例では、user1という名前のCloudSSOユーザーが作成されます。

    詳細については、「ユーザーの作成」をご参照ください。

  3. CloudSSOユーザーのユーザー名-パスワードログインを有効にします。

    詳細については、「ユーザー名とパスワードのログインの有効化」をご参照ください。

  4. アクセス設定を作成します。

    この例では、アクセス設定にAliyunVPCFullAccessシステムポリシーが含まれ、インラインポリシーは含まれません。

    詳細については、「概要」および「アクセス設定の作成」をご参照ください。

  5. CloudSSOユーザーに、リソースディレクトリ内のメンバー内のリソースへのアクセスを許可します。

    この例では、user1は、リソースディレクトリ内のメンバーのSandboxアカウント内のVPCリソースにアクセスする権限を与えられています。

    詳細については、「リソースディレクトリ内のアカウントへのアクセス権限の割り当て」をご参照ください。

  6. リソースディレクトリ内のメンバー内のリソースにCloudSSOユーザーとしてアクセスします。

    1. CloudSSOユーザーのユーザー名とパスワードを使用して、CloudSSOユーザーポータルにログインします。 この例では、user1のユーザ名とパスワードが使用されます。

    2. メンバーのサンドボックスアカウントを選択します。

    3. RAMロールとしてSandboxアカウント内のVPCリソースにアクセスします。

    詳細については、「CloudSSOユーザーポータルへのログインとAlibaba Cloudリソースへのアクセス」をご参照ください。

次に何をすべきか

上記の手順を参照して、複数のCloudSSOユーザーとアクセス設定を作成し、リソースディレクトリ内の複数のメンバーに対してCloudSSOユーザーにアクセス権限を付与できます。 これにより、複数のAlibaba CloudアカウントのIDと権限を一元管理できます。 IDプロバイダー (IdP) のユーザーを同期し、シングルサインオン (SSO) を使用してリソースディレクトリのメンバー内のリソースにアクセスすることもできます。 詳細については、「CloudSSOとは」をご参照ください。