サブアカウントと権限付与の設定を行うには、次の手順を実行します。

  1. サブアカウントの作成
    1. RAM コンソールにログインします。
    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] をクリックします。
    3. [ユーザーの作成] をクリックします。

    4. [ユーザーの作成] で、MPS にアクセスするため、プライマリアカウントと同じ権限を持つサブアカウントを作成します。

      プログラムによるアクセス のチェックボックスをオンにします。
    5. このアカウントの AccessKey を生成し、これ以降のアクセスのため、AccessKey をコピーして保存します。

  2. ロールの作成
    1. 左側のナビゲーションウィンドウで、[RAM ロール] をクリックします。
    2. [RAM ロールの作成] をクリックします。

    3. [信頼されているエンティティタイプの選択] で、[Alibaba Cloud アカウント] をクリックします。

      [信頼されているエンティティタイプの選択] で、[現在の Alibaba Cloud アカウント] をクリックし、[OK]をクリックします。



    4. [RAMロール] で、[作成したロール] をクリックします。

    5. [基本情報]で、ARN パラメーター acs:ram::1612618906552077:role/mps をコピーします。

  3. ロールに対する権限付与の設定
    1. [作成したロール] のページで、[アクセス許可の追加] をクリックします。
    2. ポリシーを選択します。

      サブアカウントの STS 権限を調整する (アクセス許可の変更、追加、削除など) には、このステップに戻ります。
      [カスタマイズポリシー] でポリシーを作成します。作成したポリシーを [ポリシーの編集] に追加することで、アップロード SDK に必要な最小限の権限を付与します。 ポリシー全体の内容は次のとおりです。
      {
           "Statement": [
             {
               "Action": [
                 "oss:PutObject",
                 "oss:AbortMultipartUpload",
                 "oss:ListMultipartUploads",
                 "oss:ListParts"
               ],
               "Effect": "Allow",
               "Resource": [
                 "*"
               ]
             }
           ],
           "Version": "1"
        }
  4. サブアカウントをロールに関連付けます。
    1. RAM コンソールにログインし、左側のナビゲーションウィンドウで、[権限] > [ポリシー] をクリックします。
    2. [ポリシーの作成] をクリックします。

    3. [カスタマイズポリシーの作成] で、[リソース] フィールドを ARN パラメーターacs:ram::1612618906552077:role/mps に設定します。

    4. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] をクリックします。
    5. 設定したサブアカウントを選択して、[権限の追加] をクリックします。
    6. 作成したテストポリシーを入力すると、teststspolicy が表示されます。