Sub Account の概要

Classic/VPC環境で利用できます。

Sub Accountとは、複数のユーザーが同じリソースを利用・管理できるサブアカウントを提供するサービスです。
1つのアカウントを複数の人が使用する場合、他の人が管理するリソースと自分が管理するリソースが混在して管理が難しく、アカウントのパスワードを複数の人が共有することになり、セキュリティ問題が発生するリスクが高くなります。また、NAVERクラウドプラットフォームのサービスを使用して運用する担当者が複数おり、それぞれが担当する業務と責任が異なる場合、担当者ごとにリソースの使用権限を異ならせる必要がある場合もあります。このような状況でサブアカウントを活用することで、NAVERクラウドプラットフォームのアカウントを複数作成したり、1つのアカウントを複数人で共有する必要がなくなります。メインアカウントで作成したサブアカウントでログインし、同じリソースを複数のユーザーが共有・管理できます。同じリソースを共有して管理するためより安定的にサービスを運用でき、各自に許可された権限の範囲内でのみタスクを実行できるためより安全に使用することができます。

Sub Accountが提供する様々な機能

Sub Accountが提供する様々な機能についての説明は、次の通りです。

• 便利なウェブコンソール: ウェブベースのコンソールでサブアカウントとサブアカウントが属するグループを作成して体系的に管理でき、マネージドポリシーやユーザーポリシーをサブアカウントとグループに便利に付与できます。
• 強力なセキュリティ: パスワードの有効期限機能により、サブアカウントユーザーが定期的にパスワードを変更するように誘導でき、許可されていない場所からアクセスできないようにコンソールにアクセス可能な IPアドレス帯域を設定することができます。また、Secure Token Service(STS)を使用して、NAVERクラウドプラットフォーム内のリソースへのアクセスを制御できる一時的な Access Keyを作成して使用することもできます。
• 体系的な権限付与: サブアカウントやグループにサービス単位の権限を付与でき、サブアカウントを受け取った担当者のロールやプロパティに合ったタスク、リソース単位の権限を部分的に付与することもできます。それぞれの業務に必要な最小限の権限を付与することで、体系的なリソース管理が可能です。

Sub Account ご利用ガイドのご案内

Sub Accountは、韓国リージョン、米国リージョン、香港リージョン、シンガポールリージョン、日本リージョン、ドイツリージョンでサービスを提供します。これらのリージョンで提供されるサービスの内容は同じです。 Sub Accountを円滑に利用するために、以下の目次と目次別内容をご確認ください。

• Sub Account の概要: Sub Accountのご紹介および利用に役立つ関連リソースのご案内

• Sub Account の仕様: Sub Accountを利用するためのサポート環境、利用料金のご案内

• Sub Account を開始する: Sub Accountを利用するための開始方法のご案内

  • ご利用の申し込みと解約: Sub Accountご利用の申し込みと解約方法のご案内

• Sub Account を使用する: Sub Accountの使用方法のご案内

  • サブアカウントの作成と管理: サブアカウントの作成と管理方法、ポリシーの適用方法のご案内
  • ポリシーとロール管理: ポリシーの作成および管理方法、ロールの作成と管理方法のご案内
  • External Accessの認証と権限管理: NAVERクラウドプラットフォーム外部のワークロードの認証およびアクセス権限の管理案内
  • External Access Signing Helper CLI を使用する: External Accessを使用するための Signing Helper CLIの使用方法の説明
  • サブアカウントでログイン: サブアカウントのユーザーがサブアカウントでログインする方法のご案内
  • サービス別権限情報: 全サービスの権限情報のご案内
  • リソース別割り当て情報: Sub Accountで管理するリソースの項目別制限事項のご案内
  • Condition条件キーと演算子情報: ポリシー Condition設定時に必要な項目についての情報のご案内

• Sub Accountのリソース管理: Sub Accountサービスのリソース情報

• Sub Account の用語: Sub Accountの使用時に必ず知っておくべき主要用語と解説のご案内

• Sub Account の権限管理: Sub Accountのポリシーのご案内

• Sub Account のリリースノート: Sub Accountご利用ガイドのアップデート履歴

Sub Account関連リソース

NAVERクラウドプラットフォームでは、Sub Accountについての顧客の理解に役立つために、ご利用ガイドの他にも様々な関連リソースを提供します。本サービスを導入しようと検討中であったり、データ関連ポリシーを策定する上で詳細情報を必要とする開発者、マーケターなどの方は、以下のリソースを積極的に活用することをお勧めします。

• 料金プランの紹介、特徴、詳細機能: Sub Accountの料金体系、特徴、詳細機能のサマリー
• Sub Accountのかんたんスタートガイド: Sub Accountの基本的な使用方法
• サービスのお知らせ: Sub Accountに関するお知らせ
• よくある質問: Sub Accountに関するよくあるご質問
• お問い合わせ: ご利用ガイドだけでは不明な点が解消されない場合、直接お問い合わせ

よくある質問

Sub Account

Q.アカウントとサブアカウントはどう違いますか?

• NAVERクラウドプラットフォームを利用するために登録したメールアドレスを「アカウント」と言います。アカウントには、ユーザーの個人情報および決済情報が含まれており、NAVERクラウドプラットフォームのすべてのサービスを利用できます。本ガイドでは、サブアカウントと区別するために「メインアカウント」とも呼びます。
• 「サブアカウント」は、アカウントのリソースを一緒に利用・管理する補助的な役割を果たすアカウントです。サブアカウントに付与された権限内でサービスを利用できます。例えば、「NCP_SERVER_MANAGER」権限が付与されたサブアカウントは、Serverのすべての機能を利用でき、サブアカウントがタスクを実行したすべての履歴は Cloud Activity Tracerで確認することができます。
• サブアカウントで使用した他のサービスの利用料金は、サブアカウントを作成したアカウントに請求されます。

Q.Sub Accountの使い方を教えてください。

1. メインアカウントのユーザーが Sub Accountでサブアカウントを作成します。
2. メインアカウントのユーザーがサブアカウントに権限を付与し、サブアカウントがログインするアクセスページを設定します。
3. サブアカウントのユーザーがサブアカウントログインページにアクセスし、サブアカウントでログインします。
4. サブアカウントのユーザーは自分のアカウントに付与された権限に基づき、NAVERクラウドプラットフォームのサービスを利用します。

Q.サブアカウントに付与できる主な権限は何ですか?

• NAVERクラウドプラットフォームのメインアカウントと同じアクセス権限(コンソール内のすべてのサービスにアクセス可能)
  Sub Accountが提供するマネージドポリシーのうち、「NCP_ADMINISTRATOR」ポリシーを付与すると、メインアカウントと同様に NAVERクラウドプラットフォーム内のポータルやコンソールにアクセスできます。

• NAVERクラウドプラットフォームコンソール内のサービス別アクセス権限
  Sub Accountが提供するマネージドポリシーのうち、「NCP_サービス名_MANAGER/VIEWER/EXECUTOR」ポリシーを付与すると、そのサービスにアクセスできます。

• Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限
  Sub Accountが提供するマネージドポリシーのうち、「NCP_FINANCE_MANAGER」ポリシーを付与すると、NAVERクラウドプラットフォームコンソールの請求と決済管理メニューにアクセスできます。

Q.権限付与の方法にはどのようなものがありますか?

• NAVERクラウドプラットフォームで提供する権限付与方式には、ロールベースのアクセス制御(RBAC)とプロパティベースのアクセス制御(ABAC)の2つがあります。
• ロールベースのアクセス制御(RBAC)は、アクセスやタスクに対する権限をユーザーのロールに応じて付与する方式で、ロールのアクセス権限は、特定のリソースに対する権限に応じて決定される方式です。
• プロパティベースのアクセス制御(ABAC)は、アクセスやタスクに対する権限をユーザー、リソース、タスク環境(セッション)などのプロパティに基づいて付与する方式です。
• NAVERクラウドプラットフォームでは、このプロパティを「タグ」と総称し、ユーザー、リソース、タスク環境にタグを関連付けることで、権限チェック対象のプロパティと付与された権限のプロパティが一致する場合にタスクを許可するように設計できます。

Q.プロパティベースのアクセス制御(ABAC)にはどのようなメリットがありますか?

• 変更事項を動的に管理できます: 新しいリソースにアクセスできるように既存のポリシーを更新する必要がなく、新しいリソースにタグを付与するだけでポリシーの実行が可能になります。
• 細かな権限管理が可能です: 既存のロールベースのアクセス制御(RBAC)は、特定のリソースに対してのみアクセス権管理が可能ですが、プロパティベースのアクセス制御(ABAC)は、リソースのタグと一致する場合のみポリシーの実行を可能にし、従来に比べて細かい権限管理が可能です。

Q.プロパティベースのアクセス制御(ABAC)で使用可能なプロパティにはどのようなものがありますか?

使用可能なプロパティは、Condition条件キーと演算子情報で確認できます。プロパティベースのアクセス制御(ABAC)で提供している条件キー(プロパティ)、演算子だけでなく、各プロパティ値の確認方法を習得できます。

External Access

Q.証明書形式は Pem形式の証明書しか使用できないんですか?

• -----BEGIN CERTIFICATE-----で始まり、-----END CERTIFICATE-----で終わる Pem形式の証明書を使用できます。
• DER形式の証明書はすぐには使用できず、Opensslなどのツールを利用して Pemに変換できます。

Q.NCP PCA以外のサードパーティーの証明書を使用することはできませんか?

• NAVERクラウドプラットフォーム以外に他社の CAも使用できます。Trust Anchor作成時に CAタイプとして外部 CAを選択して使用できます。

Q.チェーン証明書を使用すると認証に失敗します。

• チェーン証明書内部に Root CA証明書があると認証に失敗します。Root CA証明書がチェーン証明書内部に含まれているかどうか確認し、追加されている場合は削除して使用してください。
• チェーン証明書の順序は重要です。最下位の証明書から上位の証明書順に構成されているかご確認ください。

Q.CRLを登録したのですが、廃棄された証明書が認証に成功しました。

• アップロードした CRLが Enableステータスであるか確認します。
• CRL OpenAPIで TrustAnchorと CRLが正常にマッピングされているか確認します。
• CRLファイルに廃棄された証明書が正常に登録されているか確認します
  (opensslまたは CRLウェブツールで CRLファイル内に登録された廃棄された証明書を確認可能)。

Q.CRLを変更する場合、新たにアップロードする必要がありますか?

• CRLに証明書の廃棄などで変更が発生した場合、新たに CRLをダウンロード、アップロードする必要があります。

Q.CRL形式は Pem形式の CRLしか使用できないんですか?

• -----BEGIN X509 CRL-----で始まり、-----END X509 CRL-----で終わる Pem形式の CRLを使用できます。