Virtual Private Cloud(VPC) の権限管理

Prev Next

VPC環境で利用できます。

NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、VPCのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。

参考

Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。

マネージドポリシー

マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは VPCを利用できるようになります。VPCのマネージドポリシーについての簡単な説明は、次の通りです。

ポリシー名 ポリシーの説明
NCP_ADMINISTRATOR メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限
NCP_INFRA_MANAGER すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限
NCP_FINANCE_MANAGER Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限
NCP_VPC_MANAGER Virtual Private Cloud(VPC)内のすべての機能を利用できる権限

ユーザー定義ポリシー

ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。VPCのユーザー定義ポリシーについての簡単な説明は、次の通りです。

| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getNATGatewayDetail | View/getNATGatewayList | NATGateway | NATGateway | NAT Gatewayの詳細情報を確認 |
| View | View/getNATGatewayList | - | - | NATGateway | NAT Gatewayリストを照会 |
| View | View/getNetworkACLDenyAllowGroupDetail | View/getNetworkACLDenyAllowGroupList | NetworkACLDenyAllowGroup | NetworkACLDenyAllowGroup | NACL Deny-Allow Groupの詳細情報を確認 |
| View | View/getNetworkACLDenyAllowGroupList | - | - | NetworkACLDenyAllowGroup | NACL Deny-Allow Groupのリストを照会 |
| View | View/getNetworkACLDetail | View/getNetworkACLList | NetworkACL | NetworkACL | Network ACLの詳細情報を確認 |
| View | View/getNetworkACLList | - | - | NetworkACL| Network ACLリストを照会 |
| View | View/getOnPremiseGatewayDetail | View/getOnPremiseGatewayList | OnPremiseGateway | OnPremiseGateway | On Premise Gatewayの詳細状況を照会 |
| View | View/getOnPremiseGatewayList | - | - | OnPremiseGateway | On Premise Gatewayリストを照会 |
| View | View/getRouteTableDetail | View/getRouteTableList | RouteTable | RouteTable | Route Tableの詳細情報を確認 |
| View | View/getRouteTableList | - | - | RouteTable | Route Tableリストを照会 |
| View | View/getSubnetDetail | View/getSubnetList | Subnet | Subnet | サービスのためにアクセスできる Subnetを確認 |
| View | View/getSubnetList | - | - | Subnet | Subnetリストを照会 |
| View | View/getVPCDetail | View/getVPCList | VPC | VPC | サービスのためにアクセスできる VPCを確認 |
| View | View/getVPCList | - | - | VPC | VPCリストを照会 |
| View | View/getVPCPeeringDetail | View/getVPCPeeringList | VPCPeering | VPCPeering | VPC Peeringの詳細情報を確認 |
| View | View/getVPCPeeringList | - | - | VPCPeering | VPC Peeringリストを照会 |
| View | View/getVirtualPrivateGatewayDetail | View/getVirtualPrivateGatewayList | VirtualPrivateGateway | VirtualPrivateGateway | Virtual Private Gatewayの詳細情報を確認 |
| View | View/getVirtualPrivateGatewayGroupDetail | View/getVirtualPrivateGatewayGroupList | VirtualPrivateGatewayGroup | VirtualPrivateGatewayGroup | Virtual Private Gateway Groupのリストを照会 |
| View | View/getVirtualPrivateGatewayGroupList | - | - | VirtualPrivateGatewayGroup | Virtual Private Gateway Groupのリストを照会 |
| View | View/getVirtualPrivateGatewayList | - | - | VirtualPrivateGateway | Virtual Private Gatewayリストを照会 |
| View | View/getEndpointRouteTableList | - | - | EndpointRouteTable | EndpointRouteTableリストを照会 |
| View | View/getEndpointRouteTableDetail | View/getEndpointRouteTableList | EndpointRouteTable | EndpointRouteTable | EndpointRouteTableの詳細情報を照会 |
| View | View/getServiceFunctionChainList | - | - | ServiceFunctionChain | ServiceFunctionChainリストを照会 |
| View | View/getServiceFunctionChainDetail | View/getServiceFunctionChainList | ServiceFunctionChain | ServiceFunctionChain | ServiceFunctionChainの詳細情報を照会 |
| View | View/getTransitVpcConnectList | - | - | TransitVpcConnect | TransitVpcConnectリストを照会 |
| View | View/getTransitVpcConnectDetail | View/getServiceFunctionChainList | TransitVpcConnect | TransitVpcConnect | TransitVpcConnectの詳細情報を照会 |
| Change | Change/changeNetworkACLDenyAllowGroupIP |

  • View/getNetworkACLDenyAllowGroupList
  • View/getNetworkACLDenyAllowGroupDetail
| NetworkACLDenyAllowGroup | NetworkACLDenyAllowGroup | NACL Deny-Allow Groupの IPアドレス設定 |
| Change | Change/createNATGateway |
  • View/getNATGatewayList
  • View/getVPCDetail
  • View/getVPCList
| - | NATGateway | NAT Gateway作成 |
| Change | Change/createNetworkACL |
  • View/getNetworkACLList
  • View/getVPCDetail
  • View/getVPCList
| - | NetworkACL | Network ACL作成 |
| Change | Change/createNetworkACLDenyAllowGroup |
  • View/getNetworkACLDenyAllowGroupList
  • View/getVPCDetail
  • View/getVPCList
| - | NetworkACLDenyAllowGroup | NACL Deny-Allow Group作成 |
| Change | Change/createOnPremiseGateway |
  • View/getVPCDetail
  • View/getOnPremiseGatewayList
  • View/getVPCList
| - | OnPremiseGateway | On-Premise Gateway作成 |
| Change | Change/createRouteTable |
  • View/getRouteTableList
    View/getVPCDetail
  • View/getVPCList
| - | RouteTable | Route Table作成 |
| Change | Change/createSubnet |
  • View/getSubnetList
  • View/getNetworkACLList
  • View/getVPCDetail
  • View/getNetworkACLDetail
  • View/getVPCList
| - | Subnet | Subnet作成 |
| Change | Change/createVPC | View/getVPCList | - | VPC | VPC作成 |
| Change | Change/createVPCPeering |
  • View/getVPCPeeringList
  • View/getVPCDetail
  • View/getVPCList
| - | VPCPeering | VPC Peering作成 |
| Change | Change/createVirtualPrivateGateway |
  • View/getVirtualPrivateGatewayList
  • View/getVPCDetail
  • View/getVPCList
| - | VirtualPrivateGateway | Virtual Private Gateway作成 |
| Change | Change/createVirtualPrivateGatewayGroup |
  • View/getVirtualPrivateGatewayDetail
  • View/getVirtualPrivateGatewayGroupDetail
  • View/getVirtualPrivateGatewayGroupList
| - | VirtualPrivateGatewayGroup | Virtual Private Gateway Group作成 |
| Change | Change/createVirtualPrivateGatewayGroupAssociationProposal |
  • View/getVirtualPrivateGatewayDetail
  • View/getVirtualPrivateGatewayList
| VirtualPrivateGateway | VirtualPrivateGatewayGroup | 別のアカウントの Virtual Private Gateway Groupに登録申し込み |
| Change | Change/deleteNATGateway |
  • View/getNATGatewayDetail
  • View/getNATGatewayList
| NATGateway | NATGateway | NAT Gateway削除 |
| Change | Change/deleteNetworkACL |
  • View/getNetworkACLList
  • View/getNetworkACLDetail
| NetworkACL | NetworkACL | Network ACL削除 |
| Change | Change/deleteNetworkACLDenyAllowGroup |
  • View/getNetworkACLDenyAllowGroupList
  • View/getNetworkACLDenyAllowGroupDetail
| NetworkACLDenyAllowGroup | NetworkACLDenyAllowGroup | NACL Deny-Allow Group削除 |
| Change | Change/deleteOnPremiseGateway |
  • View/getOnPremiseGatewayDetail
  • View/getOnPremiseGatewayList
| OnPremiseGateway | OnPremiseGateway | On Premise Gateway削除 |
| Change | Change/deleteRouteTable |
  • View/getRouteTableList
  • View/getRouteTableDetail
| RouteTable | RouteTable | Route Table削除 |
| Change | Change/deleteSubnet |
  • View/getSubnetList
  • View/getSubnetDetail
| Subnet | Subnet | Subnet削除 |
| Change | Change/deleteVPC |
  • View/getVPCDetail
  • View/getVPCList
| VPC | VPC | VPC削除 |
| Change | Change/deleteVPCPeering |
  • View/getVPCPeeringDetail
  • View/getVPCPeeringList
| VPCPeering | VPCPeering | VPC Peering削除 |
| Change | Change/deleteVirtualPrivateGateway |
  • View/getVirtualPrivateGatewayDetail
  • View/getVirtualPrivateGatewayList
| VirtualPrivateGateway | VirtualPrivateGateway | Virtual Private Gateway削除 |
| Change | Change/deleteVirtualPrivateGatewayGroup |
  • View/getVirtualPrivateGatewayGroupDetail
  • View/getVirtualPrivateGatewayGroupList
| VirtualPrivateGatewayGroup | VirtualPrivateGatewayGroup | Virtual Private Gateway Group削除 |
| Change | Change/manageVPCPeeringRequest |
  • View/getVPCPeeringList
  • View/getVPCDetail
  • Change/deleteVPCPeering
| VPC | VPCPeering | VPC Peeringのリクエストを管理 |
| Change | Change/setNATGatewayMemo |
  • View/getNATGatewayDetail
  • View/getNATGatewayList
| NATGateway | NATGateway | NAT Gatewayのメモを変更 |
| Change | Change/setNetworkACLDenyAllowGroupMemo |
  • View/getNetworkACLDenyAllowGroupList
  • View/getNetworkACLDenyAllowGroupDetail
| NetworkACLDenyAllowGroup | NetworkACLDenyAllowGroup | NACL Deny-Allow Groupのメモを変更 |
| Change | Change/setNetworkACLMemo |
  • View/getNetworkACLList
  • View/getNetworkACLDetail
| NetworkACL | NetworkACL | Network ACLのメモを変更 |
| Change | Change/setRouteTableMemo |
  • View/getRouteTableList
  • View/getRouteTableDetail
| RouteTable | RouteTable | Route Tableのメモを変更 |
| Change | Change/setSubnetNetworkACL |
  • View/getSubnetList
  • View/getSubnetDetail
  • View/getNetworkACLList
  • View/getNetworkACLDetail
| Subnet | Subnet | Subnetの Network ACLを変更 |
| Change | Change/setVPCPeeringMemo |
  • View/getVPCPeeringDetail
  • View/getVPCPeeringList | VPCPeering | VPCPeering | VPC Peeringのメモを変更 |
    | Change | Change/setVirtualPrivateGatewayMemo |
    • View/getVirtualPrivateGatewayDetail
    • View/getVirtualPrivateGatewayList
    | VirtualPrivateGateway | VirtualPrivateGateway | Virtual Private Gateway Groupのメモを変更 |
    | Change | Change/updateNetworkACLRule |
    • View/getNetworkACLDenyAllowGroupList
    • View/getNetworkACLDenyAllowGroupDetail
    • View/getNetworkACLList
    • View/getNetworkACLDetail
    | NetworkACL | NetworkACL | Network ACLのルール設定 |
    | Change | Change/updateOnPremiseGatewayRoute |
    • View/getOnPremiseGatewayDetail
    • View/getOnPremiseGatewayList
    | OnPremiseGateway | OnPremiseGateway | On Premise Gatewayの Route Tableのルールを設定 |
    | Change | Change/updateRouteTableRule |
    • View/getRouteTableList
    • View/getRouteTableDetail
    | RouteTable | RouteTable | Route Tableのルールを設定 |
    | Change | Change/updateRouteTableSubnet |
    • View/getSubnetList
    • View/getRouteTableList
    • View/getRouteTableDetail
    • View/getSubnetDetail
    | RouteTable | RouteTable | Route Tableの関連 Subnetの設定 |
    | Change | Change/updateVirtualPrivateGatewayDescrtiption |
    • View/getVirtualPrivateGatewayDetail
    • View/getVirtualPrivateGatewayList
    | VirtualPrivateGateway | VirtualPrivateGateway | Virtual Private Gatewayのメモを変更 |
    | Change | Change/updateVirtualPrivateGatewayGroup |
    • View/getVirtualPrivateGatewayDetail
    • View/getVirtualPrivateGatewayGroupDetail
    • View/getVirtualPrivateGatewayGroupList
    | VirtualPrivateGatewayGroup | VirtualPrivateGatewayGroup | Virtual Private Gateway Groupの設定を変更 |
    | Change/createEndpointRouteTable |
    • View/getVPCList
    • View/getVPCDetail
    | - | EndpointRouteTable | EndpointRouteTable作成 |
    | Change/deleteEndpointRouteTable |
    • View/getEndpointRouteTableList
    • View/getEndpointRouteTableDetail
    | EndpointRouteTable | EndpointRouteTable | EndpointRouteTable削除 |
    | Change/updateEndpointRouteTableRule | - | EndpointRouteTable | EndpointRouteTable | EndpointRouteTableの Routeの設定を変更 |
    | Change/updateEndpointRouteTableEndpoint | - | EndpointRouteTable | EndpointRouteTable | EndpointRouteTableの関連 Endpointの設定を変更 |
    | Change/updateEndpointRouteTableDescription |
    • View/getEndpointRouteTableList
    • View/getEndpointRouteTableDetail
    | EndpointRouteTable | EndpointRouteTable | EndpointRouteTableのメモを変更 |
    | Change/createServiceFunctionChain |
    • View/getVPCList
    • View/getVPCDetail
    • View/getServerInstanceList
    • View/getServerInstanceDetail
    • View/getLoadBalancerInstanceList
    • View/getLoadBalancerInstanceDetail
    • View/getTransitVpcConnectList
    • View/getTransitVpcConnectDetail
    • View/getVirtualPrivateGatewayList
    • View/getVirtualPrivateGatewayDetail
    • View/getNetworkInterfaceList
    • View/getNetworkInterfaceDetail
    | - | ServiceFunctionChain | ServiceFunctionChain作成 |
    | Change/deleteServiceFunctionChain |
    • View/getServiceFunctionChainList
    • View/getServiceFunctionChainDetail
    | ServiceFunctionChain | ServiceFunctionChain | ServiceFunctionChain削除 |
    | Change/updateServiceFunctionChain |
    • View/getVPCList
    • View/getVPCDetail
    • View/getServerInstanceList
    • View/getServerInstanceDetail
    • View/getLoadBalancerInstanceList
    • View/getLoadBalancerInstanceDetail
    • View/getTransitVpcConnectList
    • View/getTransitVpcConnectDetail
    • View/getVirtualPrivateGatewayList
    • View/getVirtualPrivateGatewayDetail
    • View/getNetworkInterfaceList
    • View/getNetworkInterfaceDetail
    | ServiceFunctionChain | ServiceFunctionChain | ServiceFunctionChain変更 |
    | Change/updateServiceFunctionChainDescription |
    • View/getServiceFunctionChainList
    • View/getServiceFunctionChainDetail
    | ServiceFunctionChain | ServiceFunctionChain | ServiceFunctionChainのメモを変更 |
    | Change/createTransitVpcConnect |
    • View/getVPCList
    • View/getVPCDetail
    | | TransitVpcConnect | TransitVpcConnect作成 |
    | Change/deleteTransitVpcConnect |
    • View/getTransitVpcConnectList
    • View/getTransitVpcConnectDetail
    | TransitVpcConnect | TransitVpcConnect | TransitVpcConnect削除 |
    | Change/updateTransitVpcConnectDescription |
    • View/getTransitVpcConnectList
    • View/getTransitVpcConnectDetail
    | TransitVpcConnect | TransitVpcConnect | TransitVpcConnectのメモを変更 |
    | Change/updatePublicIPLink |
    • View/getVPCList
    • View/getVPCDetail
    • View/getPublicIPInstanceList
    • View/getPublicIPDetail
    | VPCServer:PublicIP | PublicIP | Public IPの Transit VPC接続設定を変更 |

    注意

    特定のアクションに対する権限が付与されたとしても、関連する必須アクションに対する権限が一緒に付与されていない場合、タスクは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与する機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。