はじめに
本記事は個人ブログからの複製記事です。
複数プロジェクトや複数環境用にクラウドのアカウントが複数存在する事はよくあると思います。
※パブリッククラウドによってはそうならないところもありますね。
その場合、各アカウント配下でログイン用のユーザーを作ったりしていると管理が大変になってきます。
今回は Alibaba Cloud で複数アカウントを持っている時に便利なクロスアカウントでのスイッチロールの使い方を簡単に紹介したいと思います。
※アカウント作成の方法は割愛します。
イメージは以下のような感じです。
【スイッチ先】RAMロールの作成
最初にスイッチロールでログインされる「スイッチ先」のアカウントでRAMロール
を作成します。
「信頼済みエンティティタイプ」でAlibaba Cloud アカウント
を選択します。
RAMロール名
に一意のロール名をつけます。
「信頼できる Alibaba Cloud アカウントの選択」の項目でその他の Alibaba Cloud アカウント
を選択します。
テキストボックスに 信頼する Alibaba Cloud アカウントの UID
(スイッチ元の Alibaba Cloud アカウントUID)を入力します。
「完了」を選択します。
「RAM ロールの作成が完了しました。」と表示されるので、RAM ロールの権限付与
を選択します。
【スイッチ先】RAMロールの権限設定
権限付与の画面が表示されるので、スイッチロールでログインするユーザーに必要な権限を選択します。
※今回は例として管理者権限(AdministratorAccess)を付与しています。
作成したロール名
と下記のドメイン名
を使うので覚えておきます。
【スイッチ元】RAMユーザーログイン
スイッチ元アカウントでのRAMユーザーの作成は割愛します。
RAMユーザーのログインに関してもドキュメントをご確認ください。
MFAのコードを入力してSubmit Verification
を選択します。
MFAは「Google Authenticator」とか「Microsoft Authenticator」が利用可能です。
RAMユーザーでログインしている場合、右上のアイコンを選択すると以下のようなメニューが表示されます。
Switch Role
を選択します。
【スイッチ元】スイッチロールの実行
Enterprise Alias / Default Domain Name
にスイッチ先アカウントのドメイン名を入力します。
Role Name
に作成したスイッチ先アカウントのRAMロール名を入力します。
Switch
を選択します。
再び管理コンソールの画面が表示されます、右上のアイコンを選択すると以下のようなメニューが表示されスイッチロールでログインできていることが確認できます。
Current ~
がスイッチ先の情報
Login ~
がスイッチ元の情報
あとは、権限に応じた操作ができるようになっているので必要な作業を行うことが可能です。
なお、Back to Lo...
を選択するとスイッチ元のアカウントに戻ることが可能です。