Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、Object Storageのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。
マネージドポリシー
マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは Object Storageを利用できるようになります。Object Storageのマネージドポリシーについての簡単な説明は、次の通りです。
| ポリシー名 | ポリシーの説明 |
|---|---|
| NCP_ADMINISTRATOR | メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限 |
| NCP_INFRA_MANAGER | すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限 |
| NCP_FINANCE_MANAGER | Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限 |
| NCP_OBJECT_STORAGE_VIEWER | Object Storageのリストを見る、照会機能のみを利用できる権限 |
| NCP_OBJECT_STORAGE_MANAGER | Object Storageのすべての機能を利用できる権限(ただし、ACLに関連した権限を他のアカウントに付与できない) |
ユーザー定義ポリシー
ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Object Storageのユーザー定義ポリシーについての簡単な説明は、次の通りです。
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
| ---- | ---- | ---- | ---- | ---- | ---- |
| View | View/getBucketList | - | - | Bucket | バケットリストを照会 |
| View | View/getObjectList | View/getBucketList | Bucket | Bucket | バケット内のファイルリストと詳細情報を照会 |
| View | View/getMultipartUploadList | View/getBucketList | Bucket | Bucket | バケットで進行中のマルチパートアップロードリストを照会 |
| View | View/getBucketCORSList | - | Bucket | Bucket | バケットの CORSを照会 |
| View | View/getAccessLogList | View/getBucketList | Bucket | Bucket | バケットのアクセスログ設定内容を照会 |
| View | View/getLifeCyclePolicyList | - | - | LifeCyclePolicy | バケットのライフサイクルポリシーリストを照会 |
| View | View/getBucketWebsite | View/getBucketList | Bucket | Bucket | バケットウェブサイト設定を照会 |
| View | View/getBucketEventList | View/getBucketList | Bucket | Bucket | バケットイベントリストを照会 |
| View | View/getCloudFunctionsTriggerList | - | - | Bucket | Cloud Functionsのトリガーリストを照会 |
| View | View/getCloudFunctionsActionList | - | - | Bucket | Cloud Functionsのアクションリストを照会 |
| View | View/getBucketMetricFilterList | - | - | Bucket | バケットの詳細モニタリングポリシーリストを照会 |
| Change | Change/writeObject | View/getBucketList
View/getObjectList | Bucket | Bucket | バケットのオブジェクト作成と変更 |
| Change | Change/createBucket | View/getBucketList | - | Bucket | バケット作成 |
| Change | Change/deleteBucket | View/getBucketList | Bucket | Bucket | バケット削除 |
| Change | Change/changeBucketCORS | - | Bucket | Bucket | バケットの CORSを変更 |
| Change | Change/deleteBucketCORS | - | Bucket | Bucket | バケットの CORSを削除 |
| Change | Change/changeAccessLog | View/getBucketList
View/getAccessLogList | Bucket | Bucket | バケットのアクセスログ設定を変更 |
| Change | Change/createLifeCyclePolicy | View/getBucketList
View/getObjectList
Change/writeObject
View/getLifeCyclePolicyList | - | LifeCyclePolicy | バケットのライフサイクルポリシーを作成 |
| Change | Change/deleteLifeCyclePolicy | View/getLifeCyclePolicyList | - | LifeCyclePolicy | バケットのライフサイクルポリシーを削除 |
| Change | Change/changeLifeCyclePolicyStatus | View/getObjectList
Change/writeObject
View/getLifeCyclePolicyList | - | LifeCyclePolicy | バケットのライフサイクルポリシーのステータスを変更 |
| Change | Change/changeBucketWebsite | View/getBucketList
View/getBucketWebsite | Bucket | Bucket |バケットウェブサイト設定を変更 |
| Change | Change/deleteBucketWebsite | View/getBucketList
View/getBucketWebsite | Bucket | Bucket | バケットウェブサイト設定を削除 |
| Change | Change/createCloudFunctionsTrigger | View/getCloudFunctionsTriggerList | - | Bucket | Cloud Functionsトリガーを作成 |
| Change | Change/changeCloudFunctionsTrigger | - | - | Bucket | Cloud Functionsのトリガー情報を変更 |
| Change | Change/createBucketEvent | View/getBucketList
View/getBucketEventList
View/getCloudFunctionsActionList
View/getCloudFunctionsTriggerList
Change/changeCloudFunctionsTrigger | Bucket | Bucket | Bucket Eventを作成 |
| Change | Change/deleteBucketEvent | View/getBucketList
View/getBucketEventList
Change/changeCloudFunctionsTrigger | Bucket | Bucket | バケットイベントを削除 |
| Change | Change/changeBucketEvent | View/getBucketList
View/getBucketEventList
View/getCloudFunctionsActionList
View/getCloudFunctionsTriggerList
Change/changeCloudFunctionsTrigger | Bucket | Bucket | バケットイベントを変更 |
| Change | Change/subscribeProduct | - | - | - | Object Storageのご利用の申し込みおよび解約 |
| Change | Change/sendBucketExtendedMetricData | - | Bucket | Bucket | 詳細モニタリングポリシーを設定したバケットのイベントデータを転送 |
| Change | Change/createBucketMetricFilter | Change/sendBucketExtendedMetricData
View/getBucketList
View/getBucketMetricFilterList | - | Bucket | バケットの詳細モニタリングポリシーを作成 |
| Change | Change/changeBucketMetricFilter | View/getBucketMetricFilterList | Bucket | Bucket | バケットの詳細モニタリングポリシーを変更 |
| Change | Change/deleteBucketMetricFilter | View/getBucketMetricFilterList | Bucket | Bucket | バケットの詳細モニタリングポリシーを削除 |
SubAccount権限を変更すると、変更された内容がすぐに適用されないことがあり、最大1分までかかります。
特定のアクションに対する権限が付与されたとしても、関連する必須アクションに対する権限が一緒に付与されていない場合、タスクは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与する機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。