Sub Account使用ガイド
  • PDF

Sub Account使用ガイド

  • PDF

ご使用の前に

Q. Sub Accountとは何ですか?

  • Sub Accountは、複数のユーザーが同じリソースを利用・管理できるようにサブアカウントを提供するサービスです。
  • サブアカウントは付与された権限の範囲内でNAVERクラウドプラットフォーム関連サービスを自由に利用・管理できます。

Q. アカウントとサブアカウントはどう違いますか?

  • NAVERクラウドプラットフォームを利用するために登録したメールアドレスを「アカウント」と言います。 アカウントには、ユーザーの個人情報及び決済情報が含まれており、NAVERクラウドプラットフォームのすべてのサービスを利用できます。
  • 「サブアカウント」は、アカウントのリソースを一緒に利用・管理するサポート役として機能し、付与された権限内で自由にサービスを利用できます。 NCP_SERVER_MANAGER(旧サーバ管理者)の権限が付与されたサブアカウントの場合、Serverのすべての機能を利用できます。サブアカウントで行われた作業内容は、Cloud Activity Tracerですべて確認できます。
  • サブアカウントを利用したサービスの利用料金は、サブアカウントを作成したアカウントに請求されます。

Q. Sub Accountはどのように利用すればいいですか?

  1. 内部のユーザーが使用するログインIDやユーザー名、アクセスタイプ、パスワード、ポリシーを設定してから、サブアカウントとして登録します。 アカウントを持っているユーザーは、Sub Accountを利用してサブアカウントを作成できます。
  2. Sub Accountで、サブアカウントにログインするアクセスページを設定します。
  3. 内部のユーザーは、サブアカウント用アクセスページを介してサブアカウントにログインします。 サブアカウントに付与されたポリシーに応じて、NAVERクラウドプラットフォームのサービス及び機能が提供されます。

Q. Sub Accountはどのような機能を提供していますか?

  • ダッシュボード:ダッシュボードでサブアカウント数やグループ数、ポリシー数、アクセスページの設定を確認できます。
  • サブアカウント:新しいサブアカウントの作成をはじめ、既存のサブアカウント情報の修正や削除、一時停止、一時停止の解除などの設定が行えます。 各サブアカウントの詳細ページでは、グループやポリシーを追加・削除して、API Gatewayに必要なAccess Keyを管理できます。
  • グループ:サブアカウントグループの作成・削除、名前の変更などの設定が行えます。 サブアカウントやポリシーをグループに追加・削除して、複数のサブアカウントに同じポリシーを反映できます。
  • ポリシー:サブアカウントが利用できる権限をまとめてポリシーとして提供します。 ポリシーのリストとタイプ、権限、適用対象を確認できます。
  • STS(Secure Token Service):NAVERクラウドプラットフォーム内のリソースへのアクセスを制御できる臨時Access Keyを作成して使用することができます。 期間に制限のないAccess Keyが外部に流出すると、セキュリティ上の危険にさらされる可能性があるため、臨時的に権限を付与する際に使用できます。
  • ロール:ポリシーで構成された臨時資格証明のことを指します。アカウントやサーバなどのリソース自体に権限を付与できます。 現在提供中のロールは、サーバリソースにのみ割り当てることができます。今後そのユーザビリティーの適用を拡大する予定です。

Q. サブアカウントにはどのような権限が付与できますか。

Subアカウントサービスで作成されたサブアカウントには、以下のように様々な権限が与えられます。

  • NAVERクラウドプラットフォームのメインアカウントと同じアクセス権限(ポータルマイページ、コンソール内の全てのサービスにアクセス可能)

Sub Accountサービスで提供するSystem Managedポリシーのうち、NCP_ADMINISTRATORポリシーを付与すると、メインアカウントと同じようにネイバークラウドプラットフォーム内のポータル、コンソールにアクセスできます。

  • NAVERクラウドプラットフォームコンソール内の全てのサービスへのアクセス権限

Sub Accountサービスで提供するSystem Managedポリシーのうち、NCP_INFRA_MANAGERポリシーを付与すると、メインアカウントと同じようにコンソール内のすべてのサービスにアクセスすることができます。

  • NAVERクラウドプラットフォームコンソール内の各サービス別アクセス権限

Sub Accountサービスが提供するSystem Managedポリシーのうち、NCP_サービス名_MANAGERVIEWERポリシーを付与すると、該当サービスにアクセスすることができます。

  • NAVERクラウドプラットフォームポータル内のマイページ「サービス利用明細」メニューアクセス権限

Sub Accountサービスで提供するSystem Managedポリシーのうち、NCP_FINANCE_MANAGERポリシーを付与すると、ポータルマイページ内の"ご請求額・ご利用明細,サービス利用状況,プロモーション情報,ご利用明細の分析"メニューにアクセスできます。

サブアカウントを作成する

Step 1. コンソールアクセス及びサブアカウントの作成

参考

最大500個まで作成可能

コンソールにアクセスしてサブアカウントを作成します。

(サブアカウントサービスがMy Productsの下位項目として表示されない場合、Services > Management & Governance > Sub Accountの☆をクリックしてMy Productsに追加できます。)

management-4-101_ja.png

1. 現在持っているサブアカウントがないため、サブアカウントのサービス情報とともに次のようなメッセージが表示されます。

  • 「登録されたサブアカウントがありません。 「サブアカウントを登録」ボタンをクリックして、新しいサブアカウントを作成してください」
    サブアカウントを作成するには、[サブアカウントを作成] ボタンをクリックします。

management-4-102_ja.png

2. サブアカウントのログインIDやユーザー名、パスワードを入力して、アクセスタイプと2段階認証の設定方法を選択してから、[作成] ボタンをクリックします。

  • アクセスタイプ
    • Console Access:サブアカウントのコンソールへのアクセスを許可する場合、チェックを入れてください。
      • サブアカウントの管理コンソールへのアクセスIPを、帯域で制限できます。
    • API Gateway Access:API Gatewayへのアクセスを許可する場合、チェックを入れます。 該当する項目を選択すると、サブアカウント作成後に詳細ページでAccess Keyを管理し、そのキーを用いてAPI Gatewayを使用できます。 また、サブアカウントは、ログイン後にポータル > マイページ > 認証キー管理メニューからご自身のAccess Keyを管理できます。
  • 2段階認証の設定
    • サブアカウントに対して2段階認証の必須設定を許可することができます。
    • 2段階認証に必要な情報は、サブアカウントの初回ログイン時に初めて設定します。ポータルのマイページ > アカウントの管理 > 2段階認証管理で修正できます。
  • パスワード再設定の適用
    • 「パスワード再設定の適用」にチェックを入れた場合、サブアカウントにログインする際にパスワード設定ページに移動して、パスワードを変更できます。
    • パスワード設定ページでパスワードを変更しないと、それ以降ログインする度にパスワード設定ページに移動します。

Step 2. ポリシーの追加

サブアカウント作成後に表示されるサブアカウント詳細画面のポリシータブで、ポリシーを追加します。

  • すべての権限追加機能を利用して、すべての操作を実行することができるポリシーを付与することができます。

management-4-103_ja.png

① ポリシータブの [追加] ボタンをクリックします。

management-4-104_ja.png

② 画面に表示されるポリシーのリストから追加するポリシーを選択します(複数選択可)。

③ 最後に [追加] ボタンをクリックすると、サブアカウントにポリシーが追加されます。

  • ポリシー:サブアカウントにログインしたユーザーが操作できる権限を定義したもの

Step 3. ダッシュボード

アクセスページを設定します。

image.png

ダッシュボードでは、アクセスページの設定と作成したサブアカウント数、グループ数、ポリシー数を確認できます。

1. サブアカウントのログインページアクセスキー。

2. 設定済みのアクセスページは、修正や削除、アドレスのコピーが行えます。

3. サブアカウントでアクセスするためのURL。サブアカウントはそのURLからのみアクセスできます。

4. サブアカウントの使用していないセッションの有効期間を設定することができます。

5. 使用していないセッションの有効期間は10分、30分、1時間、3時間の中から選択することができ、ログインされたサブアカウントがまったく活動せずに未使用のままである場合、以下で指定した時間を基準に自動ログアウトされます。

6. サブアカウントのパスワードの強制満了日を設定できます。

7. 満了日は、60、90、120、180日の中から選択できます。設定された満了日以降もサブアカウントで同じパスワードを使用する場合、パスワードを変更するまでコンソールを利用できなくなります。

8. アカウントが持っているサブアカウントやグループ、ポリシーの数を確認できます。

サブアカウントの管理

サブアカウントのメニュー

サブアカウントのメニューにアクセスして新しいサブアカウントを作成して、既存のサブアカウントのリストを確認できます。また、複数のサブアカウントの一括削除をはじめ、一時停止や一時停止の解除が行えます。

  • 一時停止されたサブアカウントでは、NAVERクラウドプラットフォームサービスを利用できません。
  • 一時停止されたサブアカウントを選択した場合、一時停止を解除する機能が提供されます。
  • 一時停止されたサブアカウントは、[状態] 列に [停止] と表示されます。

サブアカウントの詳細

リストのサブアカウントのログインIDをクリックして、サブアカウントの詳細内容を確認できます。

management-4-107_ja.png
management-4-107_ja.png

1. 現在のサブアカウントの [修正]・[削除をはじめ]、[一時停止]や[一時停止の解除] が行えます。

  • 修正機能では、ログインIDを除くサブアカウント情報を修正できます。
  • 一時停止されたサブアカウントでは、NAVERクラウドプラットフォームサービスを利用できません。
  • 一時停止されたサブアカウントを選択した場合、一時停止を解除する機能が提供されます。
  • 一時停止されたサブアカウントは、[状態] 列に [停止] と表示されます。

2. サブアカウントの管理コンソールへのアクセスIPを、帯域で制限できます。

2-1. コンソールにアクセスできるIP帯域

  • どこからでもアクセス可能:別途のIP制限がなくてもアクセスできます。
  • 指定したIP帯域からのみアクセス可能:単一のIPまたはSubnetを含むIP帯域として最大30個まで登録できます。

3. サブアカウントのOpen APIアクセスソースを制限できます。

3-1. APIアクセス可能ソース

  • どこからでもアクセス可能:別途 IP/VPCServer 制限なくアクセスが可能です。
  • 指定されたSourceからのみアクセスできる:
    • IP: 単一のIPまたはサブネットを含むIP帯域として登録できます。
    • VPCServer: 使用しているVPCのサーバーを登録できます。

4. ログインパスワードは表示されません。必要に応じて [パスワード再設定] をクリックして新しいパスワードに変更できます。

5. パスワードやAccess Keyの使用累計日数に関する情報の表示

  • パスワードの使用累計日数:サブアカウントのパスワードを変更せずに使用した累計日数に関する情報を表示します。 これは、定期的なパスワードの変更に役立ちます。
  • Access Keyの使用累計日数:API Gateway Accessが設定されているサブアカウントの場合、詳細ページでAccess Keyを管理できます。 このページには、作成されたAccess Keyの使用累計日数が表示されます。 この情報は、Keyの定期的な変更に役立ちます。

6. 詳細画面の下段には、サブアカウントのポリシーやグループ、Access Keyを確認できるタブが表示されます。

  • [ポリシー]:サブアカウントにポリシーを付与して、回収することができます。

  • [グループ]:サブアカウントをグループのメンバーとして追加して、削除することができます。

  • [Access Key]:アクセスタイプにAPI Gateway Accessが含まれているサブアカウントにのみ表示され、API Gatewayの利用に必要なAccess Key Idの追加・削除をはじめ、使用や使用停止にも使われます。

    management-4-108_ja.png

グループ管理

グループの作成や修正、削除をはじめ、サブアカウントやポリシーをグループに追加・削除することができます。

グループ作成

参考

最大300個まで作成可能

management-4-109_ja.png

1. [グループ作成] ボタンをクリックして、グループを作成します。

2. グループ名を入力し、[作成] ボタンをクリックします。

グループの修正

management-4-110_ja.png

1. グループ名の隣のアイコンにカーソルを合わせたときに表示されるコンテキストメニューで [修正] を選択します。

2. 変更するグループ名を入力して、[修正] ボタンをクリックします。

3. 右側のサブアカウントポリシー タブで、サブアカウントやポリシーをグループに追加・削除することができます。

グループの削除

management-4-112_ja.png

1. グループ名の隣のアイコンにカーソルを合わせたときに表示されるコンテキストメニューで [削除] ボタンを選択します。

2. 削除するグループ名を確認して、[削除] ボタンをクリックします。

  • グループを削除しても、グループに属するサブアカウントやポリシーは削除されません。
  • グループに追加されていたサブアカウントの場合、削除したグループは、サブアカウントの詳細 > グループタブのリストに表示されなくなります。

ポリシーの管理

image.png

  • Sub Account > Policiesで、現在のアカウントが持っているポリシーを確認して、作成や修正、削除が行えます。

  • ポリシーは、サブアカウントにログインしたユーザーが操作できる権限を定義します。 サブアカウントまたはグループ単位でポリシーを付与することができ、付与したポリシーに応じてポータルやコンソールでの権限が変わります。

  • ポリシーには、System managedとUser createdの2種類のタイプが存在します。

    • System managed:ユーザーの便宜のためにいくつかのサービスに対してChange/View権限を予め定義して提供するポリシー
    • User created:アカウントを持っているユーザーが任意に作成したポリシー

ポリシーの作成

参考

最大500個まで作成可能

management-4-114-1_ja.png

1. Sub Account > Policiesメニューで [ポリシーを作成] をクリックして、ポリシーを作成できます。

management-4-114-2_ja.png

2. ポリシー情報の設定で作成するポリシー名と説明を入力します。

3. 適用対象の設定で権限を制御するProductと、ProductのActionsを選択して適用対象を追加します。

  • Actions:Productで提供されるActionに対して権限を制御できます。 Actionの単位はサービス別に異なり、各サービスにより提供される権限管理単位のAction内容は、サービスのユーザーガイドから確認できます。
    • View:該当するサービスの照会関連機能のみを使用できる権限を提供するときに選択します。
    • Change:作成や変更、削除などの機能を使用できる権限を提供するときに選択します。

4. ③で追加した適用対象のリストを確認できます。 特定のProductを選択すると、コンソールからそのProductにアクセスできるように、コンソールでそのProductに対するアクセス権限(ProductAccess Action)は自動的に追加されます。

5. [作成] ボタンをクリックします。

ポリシー詳細

management-4-114-3_ja.png

  • ポリシーのリストからポリシー名をクリックすると、ポリシーの詳細内容を確認できます。

ポリシー修正

management-4-114-4_ja.png

  • ポリシー詳細で [修正] ボタンをクリックして、ポリシーを修正します。

management-4-114-5_ja.png

  • ポリシーを作成するときと同じ情報を修正できます。

ポリシー削除

management-4-114-6_ja.png

1. ポリシー詳細で [削除] ボタンをクリックして、ポリシーを削除できます。

2. ポップアップ画面下段の [削除] ボタンをクリックして、ポリシー削除を完了します。

ロールの管理

management-4-149_ja.png

  • Sub Account > Rolesで、役割を作成、編集、削除できます。

  • ロールは、ポリシーで構成された臨時資格証明を定義します。 一つのロールは、複数のポリシーで構成できます。また、アカウントが所有しているServerに割り当てて、臨時資格を付与できます。

  • ロールには、1種類のServerタイプが存在します。

    • Server:Serverに委任できるロール

ロールの作成

参考

最大300個まで作成可能

1. Sub Account > Rolesメニューで [ロールを作成] をクリックして、ロールを作成できます。

management-4-145-2_ja.png

2. [ロール情報の設定] で作成するロール名とタイプ、説明を入力します。

3. [作成] ボタンをクリックします。

ロールの詳細

リストからロール名をクリックして、ロールの詳細内容を確認できます。

management-4-146-1_ja.png

1. 現在のロールを [修正]・[削除] できます。

  • 修正機能では、タイプを除くロール情報を修正できます。

2. 詳細画面の下段には、ロールのポリシーや所有しているリソースを確認できるタブが表示されます。

  • ポリシー:ロールにポリシーを付与して、回収することができます。

  • Roleを所有したリソース:現在ロールを保有しているリソースを確認できます。追加・削除も行えます。

    • Serverリソースごとに一つのロールのみ付与できます。

    management-4-146-2_ja.png

    management-4-146-3_jp_0414

ロールの修正

  • ロールの詳細で [修正] ボタンをクリックして、ロールを修正します。

management-4-147-2_ja.png

  • タイプを除いて、ロールを作成するときと同じ情報を修正できます。

ロールの削除

1. ロールの詳細で [削除] ボタンをクリックして、ロールを削除できます。

2. ポップアップ画面下段の [削除] ボタンをクリックして、ロールの削除を完了します。

サブアカウントを利用する

ログインする

Sub Accountのダッシュボードで設定したアクセスページにログインします。

management-4-115_ja.png

1. 設定したアクセスページにログインします。 アクセスページの設定については、Step 3. ダッシュボードを参照してください。

2. ログインするサブアカウントのログインID、パスワードを入力してログインします。 (ポリシーが付与されていないサブアカウントにはログインできません。)

3. サブアカウント名やパスワードを紛失した場合、アカウントの担当者にお問い合わせください。

  • パスワードを5回以上間違って入力した場合、そのサブアカウントにはログインできなくなります。 アカウントの担当者にパスワード再設定をリクエストして、新しいパスワードでログインできるようにしてください。

2段階認証情報を設定する

management-4-139_ja.png

  • ポータルのマイページ > アカウントの管理 > 2段階認証管理で2段階認証情報を設定できます。

この記事は役に立ちましたか