RAM ユーザーとして Alibaba Cloud コンソールにログインするにはどうすればよいですか。

https://signin-intl.aliyun.com/login.htm にアクセスするか、またはRAM コンソールの概要ページの右側にある RAM ユーザーのログイン URL にアクセスしてください。

ログイン用のユーザー名は、次のいずれかの形式になります。<$username>@<$AccountAlias> および <$username>@<$AccountAlias>.onaliyun.com。 ドメインエイリアスを作成した場合は、 <$username>@<$DomainAlias> 形式のドメインエイリアスをログインに使用することもできます。
RAM コンソールの概要ページの右側にある RAM ユーザーログイン URL にアクセスして Alibaba Cloud コンソールにログインすると、システムは自動的にデフォルトドメイン名を提供します。 ユーザー名を入力するだけです。

デフォルトのドメイン名、アカウントエイリアス、ドメインエイリアスは何ですか。 それらをどのように使用し管理しますか。

デフォルトドメイン名アカウントエイリアスおよびドメインエイリアスについては、「用語」をご参照ください。

アカウントのデフォルトドメイン名、アカウントエイリアス、およびドメインエイリアスを表示および管理するには、 アカウントを利用するか、 RAM 権限を持つ RAM ユーザーとして RAM コンソールにログインします。[ID] > [設定] > [詳細な設定] > [ドメインエイリアス]の順にクリックします。

RAM ユーザーが Alibaba Cloud プロダクトを購入するのに必要な許可は何ですか?

  • 従量課金プロダクトの場合、プロダクトインスタンスを作成する権限、または同様の権限が必要です。
  • サブスクリプションプロダクトの場合、プロダクトインスタンスを作成する権限と支払いを行う権限 (AliyunBSSOrderAccess ポリシー) が必要です。
  • 他のリソースを使用または作成して購入しなければならないプロダクトの場合は、対応するリソースを読み取りまたは作成するための許可が必要です。 次の例では、ECS インスタンスを作成するために必要な権限について説明します。
    次のポリシーでは、RAM ユーザーはコンソール、API、またはインスタンス起動テンプレートを使用して ECS インスタンスを作成できます。 
    
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ecs:DescribeLaunchTemplates",
        "ecs:CreateInstance",
        ecs:RunInstances
        "ecs:DescribeInstances",
        "ecs:DescribeImages",
        "ecs:DescribeSecurityGroups"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
    ユーザーが ECS インスタンスを作成しているときにユーザーが他のリソースを使用または作成できるようにするには、リソースの種類に応じて次の権限をユーザーに付与します。 RAM コンソールにログインして、[ポリシー]をクリックします。 表示されたページで、カスタムポリシーを作成し、必要に応じてユーザーに権限を付与します。
    操作 ポリシーアクション
    スナップショットを使用した ECS インスタンスの作成 ecs:DescribeSnapshots
    VPC の作成と使用

    vpc:CreateVpc

    vpc:CreateVSwitch
    セキュリティグループの作成と使用

    ecs:CreateSecurityGroup

    ecs:AuthorizeSecurityGroup
    インスタンス RAM の役割指定

    ecs:DescribeInstanceRamRole

    ram:ListRoles

    ram:PassRole
    鍵ペアの使用

    ecs:CreateKeyPair

    ecs:DescribeKeyPairs
    専用ホスト (DDH) 上に ECS インスタンスを作成します。 ecs:AllocateDedicatedHosts

ユーザーに許可を与えた後、ユーザーがシステムにアクセスしたときに、そのユーザーに許可がないことを示すメッセージが表示されるのはなぜですか。

  • ユーザーに付加されているポリシーが正しいかどうかを確認します。
  • 対応するリソースまたは操作のためにユーザーに付加されているカスタムポリシー (ユーザーのポリシーおよびユーザーのグループのポリシーを含む)で、"Effect": "Deny" が設定されているかをチェックします。

    たとえば、ユーザーが AliyunECSReadOnlyAccess ポリシー (ECS にアクセスするための読み取り専用のアクセス許可を含む) と次のポリシーの両方を持っているとします。

    
{
  "Statement": [
    {
      "Action": "ecs:*",
      "Effect": "Deny",
      "Resource": "*"
    }
  ],
  "Version": "1"
}

    RAM 内の "拒否を優先する" 原則によると、ユーザーは ECS リソースを表示できません。

ユーザーが対応する許可なしに操作を実行できるのはなぜですか。

たとえば、ユーザーが必要なカスタムポリシー、または ECS の FullAccess または ReadOnly システムポリシーを持たず、ECS インスタンスを表示できる場合、次の操作を実行します。

  1. ユーザーのグループポリシーに、ユーザーが対応する操作を実行できるようにする権限が含まれているかどうかを確認します。
  2. ユーザーに関連付けられている他のポリシーに対応する権限が含まれているかどうかを確認してください。

たとえば、CloudMonitor のシステムポリシーが AliyunCloudMonitorFullAccess で、以下の権限を含むとします。"ecs:DescribeInstances" (ECS インスタンスの表示)、"rds:DescribeDBInstances" (RDS インスタンスの表示) および "slb:DescribeLoadBalancer" (SLB インスタンスの表示)。 AliyunCloudMonitorFullAccess ポリシーをユーザーに添付した場合、そのユーザーには ECS、RDS および SLB インスタンスに関する情報を表示する権限があります。

更新管理のみを目的としてユーザーに許可を与えるにはどうすればよいですか。

統一された更新管理ポリシーは現在利用できません。 特定のプロダクトに応じてポリシーをカスタマイズする必要があります。 ユーザーにプロダクトの購入許可と支払い許可を与えることができます。

たとえば、ECS の更新管理をユーザーに実行させる場合は、RAM ユーザーがAlibaba Cloud プロダクトを購入するために必要な権限をご参照ください。 必要な権限と AliyunBSSOrderAccess ポリシーをユーザーに付与します。

RAM ログインページ

日本サイトと国際サイトの RAM ログインページは下記のように、共通 URL を利用しているため、どのサイト(言語)を表示するかはブラウザが保持している cookie 情報に依存します。

https://signin-intl.aliyun.com/[UID]/login.htm

もし、cookie を保持していない場合、ログインページのヘッダー/フッターはデフォルトで国際サイトの表示となります。 一度日本サイトのアカウントでログインしたことがある場合、cookie の有効期限切れ、または削除されるまで日本サイトのログインページが表示されます。