Sub Account の概要
    • PDF

    Sub Account の概要

    • PDF

    記事の要約

    Classic/VPC環境で利用できます。

    Sub Accountとは、複数のユーザーが同じリソースを利用・管理できるサブアカウントを提供するサービスです。
    1つのアカウントを複数の人が使用する場合、他の人が管理するリソースと自分が管理するリソースが混在して管理が難しく、アカウントのパスワードを複数の人が共有することになり、セキュリティ問題が発生するリスクが高くなります。また、NAVERクラウドプラットフォームのサービスを使用して運用する担当者が複数おり、それぞれが担当する業務と責任が異なる場合、担当者ごとにリソースの使用権限を異ならせる必要がある場合もあります。このような状況でサブアカウントを活用することで、NAVERクラウドプラットフォームのアカウントを複数作成したり、1つのアカウントを複数人で共有する必要がなくなります。メインアカウントで作成したサブアカウントでログインし、同じリソースを複数のユーザーが共有・管理できます。同じリソースを共有して管理するためより安定的にサービスを運用でき、各自に許可された権限の範囲内でのみタスクを実行できるためより安全に使用することができます。

    Sub Accountが提供する様々な機能

    Sub Accountが提供する様々な機能についての説明は、次の通りです。

    • 便利なウェブコンソール: ウェブベースのコンソールでサブアカウントとサブアカウントが属するグループを作成して体系的に管理することができ、マネージドポリシーやユーザーポリシーをサブアカウントとグループに便利に付与できます。
    • 強力なセキュリティ: パスワードの有効期限機能により、サブアカウントユーザーが定期的にパスワードを変更するように誘導でき、許可されていない場所からアクセスできないようにコンソールにアクセス可能な IPアドレス帯域を設定することができます。また、Secure Token Service(STS)を使用して、NAVERクラウドプラットフォーム内のリソースへのアクセスを制御できる一時的な Access Keyを作成して使用することもできます。
    • 体系的な権限付与: サブアカウントやグループにサービス単位の権限を付与でき、サブアカウントを受け取った担当者のロールやプロパティに合ったタスク、リソース単位の権限を部分的に付与することもできます。それぞれの業務に必要な最小限の権限を付与することで、体系的なリソース管理が可能です。

    Sub Account ご利用ガイドのご案内

    Sub Accountは、韓国リージョン、米国リージョン、香港リージョン、シンガポールリージョン、日本リージョン、ドイツリージョンでサービスを提供します。これらのリージョンで提供されるサービスの内容は同じです。 Sub Accountを円滑に利用するために、以下の目次と目次別内容をご確認ください。

    Sub Account関連リソース

    NAVERクラウドプラットフォームでは、Sub Accountについての顧客の理解に役立つために、ご利用ガイドの他にも様々な関連リソースを提供します。本サービスを導入しようと検討中であったり、データ関連ポリシーを策定する上で詳細情報を必要とする開発者、マーケターなどの方は、以下のリソースを積極的に活用することをお勧めします。

    よくある質問

    Sub Account

    Q. アカウントとサブアカウントとはどう違いますか?

    • NAVERクラウドプラットフォームを利用するために登録したメールアドレスを「アカウント」と言います。アカウントには、ユーザーの個人情報および決済情報が含まれており、NAVERクラウドプラットフォームのすべてのサービスを利用できます。本ガイドでは、サブアカウントと区別するために「メインアカウント」とも呼びます。
    • 「サブアカウント」は、アカウントのリソースを一緒に利用・管理する補助的な役割を果たすアカウントです。サブアカウントに付与された権限内でサービスを利用できます。例えば、「NCP SERVER MANAGER」権限が付与されたサブアカウントは、Serverのすべての機能を利用でき、サブアカウントがタスクを実行したすべての履歴は Cloud Activity Tracerで確認することができます。
    • サブアカウントで使用した他のサービスの利用料金は、サブアカウントを作成したアカウントに請求されます。

    Q. Sub Accountの使い方を教えてください。

    1. メインアカウントのユーザーが Sub Accountでサブアカウントを作成します。
    2. メインアカウントのユーザーがサブアカウントに権限を付与し、サブアカウントがログインするアクセスページを設定します。
    3. サブアカウントのユーザーがサブアカウントログインページにアクセスし、サブアカウントでログインします。
    4. サブアカウントのユーザーは自分のアカウントに付与された権限に基づき、NAVERクラウドプラットフォームのサービスを利用します。

    Q. サブアカウントに付与できる主な権限は何ですか?

    • NAVERクラウドプラットフォームのメインアカウントと同じアクセス権(ポータル、マイページ、コンソール内のすべてのサービスにアクセス可能)
      Sub Accountで提供するマネージドポリシーのうち、「NCP_ADMINISTRATOR」ポリシーを付与すると、メインアカウントと同じように NAVERクラウドプラットフォームのポータル、コンソールにアクセスできます。

    • NAVERクラウドプラットフォームコンソール内のサービス別アクセス権
      Sub Accountで提供するマネージドポリシーのうち、「NCP サービス名 MANAGER/VIEWER/EXECUTOR」ポリシーを付与すると、当該サービスにアクセスできます。

    • NAVERクラウドプラットフォームポータル内の マイページ > 利用管理 メニューへのアクセス権
      Sub Accountが提供するマネージドポリシーのうち、「NCP FINANCE MANAGER」ポリシーを付与すると、NAVERクラウドプラットフォームポータルのマイページ内のサービス利用履歴、利用状況、プロモーション履歴、請求履歴のトレンドメニューにアクセスできます。

    Q. 権限付与の方法にはどのようなものがありますか?

    • NAVERクラウドプラットフォームで提供する権限付与方式には、ロールベースのアクセス制御(RBAC)とプロパティベースのアクセス制御(ABAC)の2つがあります。
    • ロールベースのアクセス制御(RBAC)は、アクセスやタスクに対する権限をユーザーのロールに応じて付与する方式で、ロールのアクセス権限は、特定のリソースに対する権限に応じて決定される方式です。
    • プロパティベースのアクセス制御(ABAC)は、アクセスやタスクに対する権限をユーザー、リソース、タスク環境(セッション)などのプロパティに基づいて付与する方式です。
    • NAVERクラウドプラットフォームでは、このプロパティを「タグ」と総称し、ユーザー、リソース、タスク環境にタグを関連付けることで、権限チェック対象のプロパティと付与された権限のプロパティが一致する場合にタスクを許可するように設計できます。

    Q. プロパティベースのアクセス制御(ABAC)にはどのようなメリットがありますか?

    • 変更事項を動的に管理できます: 新しいリソースにアクセスできるように既存のポリシーを更新する必要がなく、新しいリソースにタグを付与するだけでポリシーの実行が可能になります。
    • 細かな権限管理が可能です: 既存のロールベースのアクセス制御(RBAC)は、特定のリソースに対してのみアクセス権管理が可能ですが、プロパティベースのアクセス制御(ABAC)は、リソースのタグと一致する場合のみポリシーの実行を可能にし、従来に比べて細かい権限管理が可能です。

    Q. プロパティベースのアクセス制御(ABAC)で使用可能なプロパティにはどのようなものがありますか?

    使用可能なプロパティは、Condition条件キーと演算子情報で確認できます。プロパティベースのアクセス制御(ABAC)で提供している条件キー(プロパティ)、演算子だけでなく、各プロパティ値の確認方法を習得できます。

    External Access

    Q. 証明書形式は Pem形式の証明書しか使用できないんですか?

    • -----BEGIN CERTIFICATE-----で始まり、 -----END CERTIFICATE-----で終わる Pem形式の証明書を使用できます。
    • DER形式の証明書はすぐには使用できず、Opensslなどのツールを利用して Pemに変換できます。

    Q. NCP PCA以外のサードパーティーの証明書を使用することはできませんか?

    • NAVERクラウドプラットフォーム以外の第三者発行の証明書も使用できるように機能を提供する予定です。

    Q. チェーン証明書を使用すると認証に失敗します。

    • チェーン証明書内部に Root CA証明書があると認証に失敗します。Root CA証明書がチェーン証明書内部に含まれているかどうか確認し、追加されている場合は削除して使用してください。
    • チェーン証明書の順序は重要です。最下位の証明書から上位の証明書順に構成されているかご確認ください。

    Q. CRLを登録したのですが、廃棄された証明書が認証に成功しました。

    • アップロードした CRLが Enableステータスであるか確認します。
    • CRL OpenAPIで TrustAnchorと CRLが正常にマッピングされているか確認します。
    • CRLファイルに廃棄された証明書が正常に登録されているか確認します
      (opensslまたは CRLウェブツールで CRLファイル内に登録された廃棄された証明書を確認可能)。

    Q. CRLを変更する場合、新たにアップロードする必要がありますか?

    • CRLに証明書の廃棄などで変更が発生した場合、新たに CRLをダウンロード、アップロードする必要があります。

    Q. CRL形式は Pem形式の CRLしか使用できないんですか?

    • -----BEGIN X509 CRL-----で始まり、 -----END X509 CRL-----で終わる Pem形式の CRLを使用できます。

    この記事は役に立ちましたか?

    Changing your password will log you out immediately. Use the new password to log back in.
    First name must have atleast 2 characters. Numbers and special characters are not allowed.
    Last name must have atleast 1 characters. Numbers and special characters are not allowed.
    Enter a valid email
    Enter a valid password
    Your profile has been successfully updated.