このトピックでは、管理アカウントおよびリソースディレクトリのメンバーを対象に自動的に作成される RAM ロールについて説明します。
概要
下表に、管理アカウントおよびリソースディレクトリのメンバーを対象に自動作成される RAM ロールの一覧を示します。
オブジェクト | RAMロール名 | RAMロールタイプ |
管理アカウント | サービスにリンクされたロール | |
メンバー | サービスにリンクされたロール | |
信頼済みエンティティが Alibaba Cloud アカウントの RAM ロール | ||
サービスにリンクされたロール |
AliyunServiceRoleForResourceDirectory
使用シナリオ
AliyunServiceRoleForResourceDirectory ロールは、リソースディレクトリ内の信頼済みサービスに対してアクセスチャネルを提供します。 リソースディレクトリにこのロールを割り当てると、信頼済みサービスのサービスにリンクされたロールを作成できます。 信頼済みサービスにこのサービスにリンクされたロールを割り当てると、他のクラウドサービスにアクセスできるようになります。 詳細については、「サービスにリンクされたロール」をご参照ください。
権限ポリシー
ポリシー名:AliyunServiceRolePolicyForResourceDirectory
ポリシー文書:
{
"Version": "1",
"Statement": [
{
"Action": "ram:CreateServiceLinkedRole",
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "resourcemanager.aliyuncs.com"
}
}
}
]
}
信頼ポリシー
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"resourcemanager.aliyuncs.com"
]
}
}
],
"Version": "1"
}
ロールの作成
以下のケースで、システムにより AliyunServiceRoleForResourceDirectory ロールが作成されます。
リソースディレクトリの有効化後に、リソースディレクトリの管理アカウントにロールが作成されます。
リソースディレクトリにメンバーが作成されると、リソースディレクトリのメンバーにロールが作成されます。
アカウントがリソースディレクトリに参加すると、招待されたアカウントにロールが作成されます。
ロールの削除
ロールが削除されると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。
以下のケースでは、システムにより AliyunServiceRoleForResourceDirectory ロールが削除されます。
リソースディレクトリが無効な場合、リソースディレクトリの管理アカウントのロールは削除されます。
メンバーがリソースディレクトリから削除されると、リソースディレクトリのメンバーのロールも削除されます。
クラウドリソースによって使用されていないロールは、手動で削除できます。 詳細については、「RAMロールの削除」をご参照ください。
ResourceDirectoryAccountAccessRole
使用シナリオ
ResourceDirectoryAccountAccessRole ロールは、リソースディレクトリの管理者が、メンバーとしてログインして管理操作を実行するために使用します。 このロールの信頼できるエンティティは、リソースディレクトリの管理アカウントです。
権限ポリシー
ポリシー名:AdministratorAccess
ポリシー文書:
{
"Statement": [
{
"Action": "*",
"Effect": "Allow",
"Resource": "*"
}
],
"Version": "1"
}
信頼ポリシー
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"RAM": [
"acs:ram::151266687691****:root" // 151266687691**** is the ID of the management account.
]
}
}
],
"Version": "1"
}
ロールの作成
以下のケースでは、システムにより ResourceDirectoryAccountAccessRole ロールが作成されます。
リソースディレクトリにメンバーが作成されると、リソースディレクトリのメンバーにロールが作成されます。
アカウントがリソースディレクトリに参加すると、招待されたアカウントにロールが作成されます。
ロールの削除
ロールが削除されると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。
リソースディレクトリからメンバーが削除されると、リソースディレクトリのメンバーの ResourceDirectoryAccountAccessRole ロールは削除されます。
ロールに権限ポリシーがアタッチされていない場合は、ロールを手動で削除できます。 詳細については、「RAMロールの削除」をご参照ください。
AliyunServiceRoleFor***
使用シナリオ
AliyunServiceRoleFor*** ロールは、信頼済みサービスによってスケジュールされたタスクを実行し、信頼済みサービスとリソースディレクトリサービス間のアクセスの問題を解決するために使用されます。 詳細については、「サービスにリンクされたロール」をご参照ください。
AliyunServiceRoleFor*** のアスタリスク (*) は、信頼済みサービスを表します。 たとえば、AliyunServiceRoleForConfig は、信頼済みサービスである Cloud Config のロールです。
権限ポリシー
権限ポリシーは、信頼済みサービスによって策定されます。 ほとんどの場合、権限ポリシーには以下の種類の権限が含まれます。
信頼済みサービスによる、特定のクラウドサービスでスケジューリングされたタスクの実行に必要な権限
信頼済みサービスがロールを削除するために必要な権限
信頼ポリシー
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"***.aliyuncs.com" // Asterisks (*) indicate a trusted service. Example: config.aliyuncs.com.
]
}
}
],
"Version": "1"
}
ロールの作成
リソースディレクトリで信頼済みサービスが有効な場合、リソースディレクトリサービスに AliyunServiceRoleForResourceDirectory ロールを割り当てると、リソースディレクトリで信頼済みサービスが有効化されている各メンバーに対し、AliyunServiceRoleFor*** ロールが作成されます。
ロールの削除
ロールが削除されると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。
リソースディレクトリからメンバーが削除されると、このイベントは、リソースディレクトリにより関連する信頼済みサービスにブロードキャストされます。 AliyunServiceRoleFor*** ロールがメンバーから削除されるかどうかは、信頼済みサービスによって決定されます。 大半の場合は、信頼済みサービスによってロールが削除されます。 ただし、信頼済みサービスによるロールの削除が行われない場合もあります。 その場合は、メンバーにログインしてロールを手動で削除できます。 詳細については、「RAMロールの削除」をご参照ください。