Classic/VPC環境で利用できます。
NAVERクラウドプラットフォーム外部のワークロードを認証し、NAVERクラウドプラットフォームにアクセスできる権限を管理する方法について説明します。
外部ワークロード認証
外部ワークロードを認証して安全に一時キーを提供するために NAVERクラウドプラットフォームの NCP Private CAサービスを通じて X.509証明書を作成するか、外部 CAを登録して External Accessメニューで認証、権限管理を行います。
- Private CA を使用する: Private CAの使用方法のご案内
Trust Anchor作成
お客様の証明書を検証する Trust Anchorを設定するステップです。Trust Anchorを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、
> Services > Management & Governance > Sub Account > External Access メニューを順にクリックします。 - Trust Anchor タブの [作成] ボタンをクリックします。
- Trust Anchor情報 で作成する Trust Anchorの名前と説明を入力します。
- CA情報 で登録する CAを選択します。CAは作成された Ncloud Private CAを選択するか、外部 CAを直接入力して登録できます。
- 作成された Ncloud Private CAがない場合、 Private CA作成 ボタンで CAを作成した後に行えます。
- Trust Anchor情報 と CA情報 の入力を完了し、 [作成] ボタンをクリックします。
- Trust Anchor タブで Trust Anchorが追加されているか確認します。
Profile作成と Role連携
NAVERクラウドプラットフォームにアクセスする Profileを作成して管理するステップです。
Profileに External Access Service Role をマッピングすることで、身元が確認された外部ワークロードを対象に、NAVERクラウドプラットフォームリソースへのアクセス権を External Access Service Roleで制御できます。Profileを作成する方法は、次の通りです。
- Service Role作成: Service Roleの作成とロールの適用方法のご案内
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > External Access メニューを順にクリックします。
- Profile タブで [作成] ボタンをクリックします。
- Profile情報 から作成する Profileの名前とメモを入力します。
- Role情報 から Profileに連携する Roleを選択します。
- セッション情報 に一時的に発行したキーの有効期限を設定します。
- [作成] ボタンをクリックします。
- Profile タブで Profileが追加されているか確認します。
参考
- Roleは1つのプロファイルにのみ関連付けできます。
- 0個の Roleを持つ Profileも作成できます。
- セッションの有効期限は600秒(10分)~43200秒(12時間)まで可能です。
Subject Activity
同じ証明書のプロパティ(Subject)を持つ証明書の詳細な使用履歴を Subject Activityを通じて管理できます。Subject Activityは、証明書の使用履歴に応じて自動的に作成され、履歴を確認する方法は次の通りです。
- NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > External Access メニューを順にクリックします。
- Subject Activity タブに作成されている Subject をクリックします。
- 作成された Subjectの情報と証明書の使用履歴を確認します。
Signing Helperで一時キー発行
Trust Anchorと Profileの設定が完了すると、Signing Helper CLIを通じて一時キーを発行され、一時認証情報を取得します。
- Signing Helper CLI を使用する: Signing Helper CLIガイドのご案内