すべてのプロダクト
Search
ドキュメントセンター

Resource Management:リソースディレクトリの RAM ロール

最終更新日:Nov 01, 2024

このトピックでは、管理アカウントおよびリソースディレクトリのメンバーを対象に自動的に作成される RAM ロールについて説明します。

概要

下表に、管理アカウントおよびリソースディレクトリのメンバーを対象に自動作成される RAM ロールの一覧を示します。

オブジェクト

RAMロール名

RAMロールタイプ

管理アカウント

AliyunServiceRoleForResourceDirectory

サービスにリンクされたロール

メンバー

AliyunServiceRoleForResourceDirectory

サービスにリンクされたロール

ResourceDirectoryAccountAccessRole

信頼済みエンティティが Alibaba Cloud アカウントの RAM ロール

AliyunServiceRoleFor ***

サービスにリンクされたロール

AliyunServiceRoleForResourceDirectory

使用シナリオ

AliyunServiceRoleForResourceDirectory ロールは、リソースディレクトリ内の信頼済みサービスに対してアクセスチャネルを提供します。 リソースディレクトリにこのロールを割り当てると、信頼済みサービスのサービスにリンクされたロールを作成できます。 信頼済みサービスにこのサービスにリンクされたロールを割り当てると、他のクラウドサービスにアクセスできるようになります。 詳細については、「サービスにリンクされたロール」をご参照ください。

権限ポリシー

ポリシー名:AliyunServiceRolePolicyForResourceDirectory

ポリシー文書:

{
    "Version": "1",
    "Statement": [
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "resourcemanager.aliyuncs.com"
                }
            }
        }
    ]
}

信頼ポリシー

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "resourcemanager.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

ロールの作成

以下のケースで、システムにより AliyunServiceRoleForResourceDirectory ロールが作成されます。

  • リソースディレクトリの有効化後に、リソースディレクトリの管理アカウントにロールが作成されます。

  • リソースディレクトリにメンバーが作成されると、リソースディレクトリのメンバーにロールが作成されます。

  • アカウントがリソースディレクトリに参加すると、招待されたアカウントにロールが作成されます。

ロールの削除

警告

ロールが削除されると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

以下のケースでは、システムにより AliyunServiceRoleForResourceDirectory ロールが削除されます。

  • リソースディレクトリが無効な場合、リソースディレクトリの管理アカウントのロールは削除されます。

  • メンバーがリソースディレクトリから削除されると、リソースディレクトリのメンバーのロールも削除されます。

クラウドリソースによって使用されていないロールは、手動で削除できます。 詳細については、「RAMロールの削除」をご参照ください。

ResourceDirectoryAccountAccessRole

使用シナリオ

ResourceDirectoryAccountAccessRole ロールは、リソースディレクトリの管理者が、メンバーとしてログインして管理操作を実行するために使用します。 このロールの信頼できるエンティティは、リソースディレクトリの管理アカウントです。

権限ポリシー

ポリシー名:AdministratorAccess

ポリシー文書:

{
    "Statement": [
        {
            "Action": "*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

信頼ポリシー

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::151266687691****:root"  // 151266687691**** is the ID of the management account. 
        ]
      }
    }
  ],
  "Version": "1"
}

ロールの作成

以下のケースでは、システムにより ResourceDirectoryAccountAccessRole ロールが作成されます。

  • リソースディレクトリにメンバーが作成されると、リソースディレクトリのメンバーにロールが作成されます。

  • アカウントがリソースディレクトリに参加すると、招待されたアカウントにロールが作成されます。

ロールの削除

警告

ロールが削除されると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

リソースディレクトリからメンバーが削除されると、リソースディレクトリのメンバーの ResourceDirectoryAccountAccessRole ロールは削除されます。

ロールに権限ポリシーがアタッチされていない場合は、ロールを手動で削除できます。 詳細については、「RAMロールの削除」をご参照ください。

AliyunServiceRoleFor***

使用シナリオ

AliyunServiceRoleFor*** ロールは、信頼済みサービスによってスケジュールされたタスクを実行し、信頼済みサービスとリソースディレクトリサービス間のアクセスの問題を解決するために使用されます。 詳細については、「サービスにリンクされたロール」をご参照ください。

説明

AliyunServiceRoleFor*** のアスタリスク (*) は、信頼済みサービスを表します。 たとえば、AliyunServiceRoleForConfig は、信頼済みサービスである Cloud Config のロールです。

権限ポリシー

権限ポリシーは、信頼済みサービスによって策定されます。 ほとんどの場合、権限ポリシーには以下の種類の権限が含まれます。

  • 信頼済みサービスによる、特定のクラウドサービスでスケジューリングされたタスクの実行に必要な権限

  • 信頼済みサービスがロールを削除するために必要な権限

信頼ポリシー

{
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "***.aliyuncs.com"  // Asterisks (*) indicate a trusted service. Example: config.aliyuncs.com. 
        ]
      }
    }
  ],
  "Version": "1"
}

ロールの作成

リソースディレクトリで信頼済みサービスが有効な場合、リソースディレクトリサービスに AliyunServiceRoleForResourceDirectory ロールを割り当てると、リソースディレクトリで信頼済みサービスが有効化されている各メンバーに対し、AliyunServiceRoleFor*** ロールが作成されます。

ロールの削除

警告

ロールが削除されると、ロールに依存する機能は使用できません。 作業は慎重に行ってください。

リソースディレクトリからメンバーが削除されると、このイベントは、リソースディレクトリにより関連する信頼済みサービスにブロードキャストされます。 AliyunServiceRoleFor*** ロールがメンバーから削除されるかどうかは、信頼済みサービスによって決定されます。 大半の場合は、信頼済みサービスによってロールが削除されます。 ただし、信頼済みサービスによるロールの削除が行われない場合もあります。 その場合は、メンバーにログインしてロールを手動で削除できます。 詳細については、「RAMロールの削除」をご参照ください。