ロール担い手としてのマスターアカウントは、サブアカウントにロールの引き受けを許可できます。ここでは、ケーススタディを通じて、サブアカウントにロールの引き受けポリシーを作成・付与する方法を簡単に理解できます。
以下のシナリオを想定します。会社Aには運用保守エンジニアのポジションがあり、そのポジションを会社Bに外部委託したいと考えています。このポジションは、会社Aの広州リージョンにあるすべてのCloud Virtual Machine (CVM)リソースを操作する必要があります。
会社Aの企業アカウントCompanyExampleA(ownerUin:12345)は、ロールを作成し、ロール担い手を会社Bの企業アカウントCompanyExampleB(ownerUin:67890)に設定します。会社A(CompanyExampleA)はCreateRoleインターフェースを呼び出してロール名(roleName)をDevOpsRoleとするロールを作成し、会社Aの企業アカウントCompanyExampleAは作成したロールDevOpsRoleに権限を付与します。上記の手順については、APIによる作成を参照してください。 会社Bの企業アカウント(CompanyExampleB)がこのロールの権限付与を受けた後、サブアカウントDevBにこの作業を完了することを希望します。会社B(CompanyExampleB)は、サブアカウントDevBが会社A(CompanyExampleA)のロールDevOpsRoleを引き受ける申請ができるように権限付与する必要があります:
1. AssumeRoleポリシーを作成します。例は以下の通りです:
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": ["name/sts:AssumeRole"],
"resource": ["qcs::cam::uin/12345:roleName/DevOpsRole"]
}
]
}
2. このポリシーをサブアカウントDevBに付与します。これによりサブアカウントはロールDevOpsRoleを引き受ける権限が付与されます。
3. サブアカウントがロールの引き受け権限を取得した後の使用方法については、ロールの使用を参照してください。