Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、Private CAのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。
マネージドポリシー
マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは Private CAを利用できるようになります。Private CAのマネージドポリシーについての簡単な説明は、次の通りです。
| ポリシー名 | ポリシーの説明 |
|---|---|
| NCP_ADMINISTRATOR | メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限 |
| NCP_INFRA_MANAGER | すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限 |
| NCP_FINANCE_MANAGER | Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限 |
| NCP_PRIVATE_CA_MANAGER | Private CAのすべての機能が利用できる権限 |
| NCP_PRIVATE_CA_VIEWER | Private CAのリストを見る、照会機能のみを利用できる権限 |
ユーザー定義ポリシー
ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountサービスで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Private CAサービスのユーザー定義ポリシーについての簡単な説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
|---|---|---|---|---|---|
| View | View/getCAList | - | - | PrivateCA | CAリストを照会 |
| View | View/getCADetail | View/getCAList | CA | PrivateCA | 特定 CAを照会 |
| View | View/getCASubCsr | View/getCADetail | CA | PrivateCA | Sub CSRを照会 |
| View | View/getCAChain | View/getCADetail | CA | PrivateCA | CAチェーンを照会 |
| View | View/getCACrl | View/getCADetail | CA | PrivateCA | CA CRLを照会 |
| Change | Change/createCA | - | - | PrivateCA | 新規 CAを作成 |
| Change | Change/deleteCA | View/getCADetail | CA | PrivateCA | CAの完全削除 |
| View | View/getCACrlConfig | View/getCADetail | CA | PrivateCA | CRL設定を照会 |
| Change | Change/updateCACrlConfig | View/getCADetail | CA | PrivateCA | CRL設定を調整 |
| Change | Change/rotateCACrl | View/getCADetail | CA | PrivateCA | CA CRLをローテーション |
| Change | Change/trimCA | View/getCADetail | CA | PrivateCA | 期限切れとなった証明書を削除して CRLを整理 |
| Change | Change/createOcsp | View/getCADetail | CA | PrivateCA | OCSP URLをリリース |
| Change | Change/deleteOcsp | View/getCADetail | CA | PrivateCA | OCSP URLを削除 |
| Change | Change/activateCA | View/getCADetail | CA | PrivateCA | 直接署名方式の CAを有効化 |
| Change | Change/signSubCsr | View/getCADetail | CA | PrivateCA | Sub CSRに署名 |
| Change | Change/signEndCsr | View/getCADetail | CA | PrivateCA | CSRに署名して CA証明書を発行 |
| View | View/getCertList | View/getCADetail | CA | PrivateCA | CAが発行した証明書リストを照会 |
| View | View/getCertDetail | View/getCADetail View/getCertList |
CA | PrivateCA | CAが発行した証明書を照会 |
| Change | Change/issueEndCert | View/getCADetail View/getCertList View/getCertDetail |
CA | PrivateCA | CA証明書を発行 |
| Change | Change/revokeCert | View/getCADetail View/getCertList View/getCertDetail |
CA | PrivateCA | CA証明書を廃棄 |
| Change | Change/updateCAMemo | View/getCADetail | CA | PrivateCA | CAメモを変更 |
| Change | Change/requestCADeletion | View/getCADetail | CA | PrivateCA | CA削除をリクエスト |
| Change | Change/cancelCADeletion | View/getCADetail | CA | PrivateCA | CAの削除キャンセル |
| Change | Change/updateCAStatus | View/getCADetail | CA | PrivateCA | CAステータスを変更 |
特定のアクションに対する権限が付与されたとしても、関連する必須アクションに対する権限が一緒に付与されていない場合、タスクは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与する機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。
ロールベース権限のマイグレーション
既存の Private CAで提供した [権限管理] 機能は Sub Accountのポリシー(Policy)機能に統合されます。運用中の CAの CA Managerロールは同じレベルの権限を持つポリシーに自動的にマイグレーションされます。マイグレーションされるポリシーは以下のような権限を持っています。
| ロール名 | マイグレーションされるポリシー名 | マイグレーションされる権限 |
|---|---|---|
| CA Manager | PCA_CA_MGR-{CATag} | View*, Change* |
マイグレーションされるポリシーは Management & Governance > Sub Account > Policiesメニューの [ユーザー定義ポリシー] タブで確認できます。
