- 印刷する
- PDF
ポリシーとロール管理
- 印刷する
- PDF
Classic/VPC環境で利用できます。
ポリシーとロールを作成して管理する方法について説明します。
ポリシー管理
ポリシーは、サブアカウントのユーザーが操作できる権限の束です。サブアカウントやグループにポリシーを付与でき、サブアカウントは付与されたポリシーに応じてポータルやコンソールでの権限が変わります。
ポリシーのタイプは次の通りです。
- マネージドポリシー: ユーザーの利便性を考慮し、NAVERクラウドプラットフォームで独自に定義したロールベースのポリシーです。サービスの Change/View権限を予め定義して提供するポリシーで、ユーザーは修正または削除できません。
- ユーザー定義ポリシー: アカウントユーザーが作成できるポリシーです。
ユーザー定義ポリシー作成
各サービスの様々な詳細アクションを組み合わせてポリシーを作成できます。例えば、「Serverリスト照会」権限と「特定サーバ停止」権限のみ実行できるサブアカウントを作成して担当者に割り当てできます。すべてのサービスにおいて詳細アクション機能を提供しているのではなく、サービス別に提供する詳細アクションも異なりますので、詳細は各サービスの権限管理ページをご参照ください。
アカウントユーザーがユーザー定義ポリシーを直接作成する方法は、次の通りです。
NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
[ポリシー作成] ボタンをクリックします。
ポリシー情報 で作成したいポリシー名と説明を入力します。
- ポリシー名には、文字、数字、記号(.、-、_)のみ入力でき、先頭は文字にします。
- ポリシー適用対象 領域でプラットフォームを選択した後、ポリシーを適用するサービスを選択します。
- サービス選択時、当該サービスで提供するアクションタイプが表示されます。
- アクション単位はサービスによって異なり、サービス別アクションの詳細は、各サービスの権限管理ガイドをご参照ください。
適用するアクション名を選択し、 [適用対象追加] ボタンをクリックします。
- 閲覧権限: 当該サービスの照会機能のみ使用できる権限。 [開く] ボタンをクリックすると、詳細権限を選択可能
- 変更権限: 当該サービスの作成・変更・削除などの機能を使用できる権限。 [開く] ボタンをクリックすると、詳細権限を選択可能
アクションを選択すると、関連するアクションが自動的に選択されるため、ユーザーはアクション別の関係が分からなくてもポリシーを作成できます。自動的に選択されたアクションの解除もできますが、関連するアクションが削除されると、サブアカウントを円滑に使用する上で問題が生じることもあります。例えば、サーバ詳細情報の照会権限を選択すると、サーバリスト照会権限も自動的に選択されますが、ユーザーがその権限を解除すると、サーバ詳細情報が照会できなくなります。
適用対象リストにポリシーが追加されたかを確認します。
- サービスを選択すると、コンソールで当該サービスにアクセスできる権限(ProductAccess Action)は自動的に追加されます。
[作成] ボタンをクリックします。
ポリシーは最大500個まで作成できます。
ポリシーの詳細情報を確認
ポリシーの詳細情報を確認する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
- 画面右上の検索領域でポリシーを入力するか、そのポリシーに関連するサービスを選択します。
- ポリシーリストでポリシー名をクリックします。
- ポリシーの詳細内容を確認します。
- ポリシー情報: ポリシーの設定情報(ポリシー名、ポリシーの説明、NRN、作成日時、修正日時など)を確認できます。
- 適用対象: ポリシーに適用された権限情報を確認できます。
- 割り当てリソース: ポリシーが割り当てられているリソース情報(Sub Account、Group、Role)を確認でき、 [解除] ボタンでポリシーの割り当てを解除できます。
ポリシー修正
ポリシーを修正する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
- ポリシーリストでポリシー名をクリックします。
- ポリシーの詳細画面で [修正] ボタンをクリックします。
- ポリシー情報を修正し、 [修正] ボタンをクリックします。
ポリシー削除
ポリシーを削除する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
- ポリシーリストでポリシー名をクリックします。
- ポリシーの詳細画面上の [削除] ボタンをクリックします。
- 削除画面が表示されたら、 [削除] ボタンをクリックします。
ポリシーが割り当てられているリソースがある場合、ポリシーを削除できません。ポリシーの詳細ページでポリシーの割り当てを解除後、ポリシーを削除できます。
ロール管理
ロールは、ポリシーで構成されている臨時認証情報です。サブアカウントにのみ付与できる永久的な認証情報であるポリシーとは異なり、ロールはアカウントだけでなく、Serverのようなリソースにも権限を付与できます。
ロールのタイプは次の通りです。
- Server Role: Server Roleは、VPCベースの Serverリソースにのみ割り当てます。ロールが割り当てられた Serverでは、認証情報のための別途の Access Keyを保存しなくても、NAVERクラウドプラットフォーム内のリソースにアクセスできます。
- Account Role: Account Roleは、サブアカウントにメインアカウントのポータル/コンソールにアクセス可能な権限を割り当てできます。ロールが割り当てられたサブアカウントは、ロールを切り替えることで、対象アカウントのリソースにアクセスできます。
- Single Sign-On Role: Single Sign-On Roleは、Ncloud Single Sign-Onの External IdPユーザーを対象に、ポータル/コンソールにアクセス可能な権限を割り当てできます。
- Service Role: Service Roleは、サービス対象に他のサービスのリソースにアクセス可能な権限を割り当てできます。
Server Roleを活用すると、Server内に保存されている Access Keyが流出するリスクを防ぐことができ、定期的に Keyを取り替えるためのリリースタスクを省略できます。
ロール作成
ロールを作成する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
- [ロール作成] ボタンをクリックします。
- ポリシー情報 画面が表示されたら、作成するロールの名前、タイプ、説明を入力します。
- ロールのタイプが Accountの場合は、未使用セッションの有効期限切れ時間も入力します。
- [作成] ボタンをクリックします。
Single Sign-On Roleの作成は、Ncloud Single Sign-Onサービスで可能です。
ロールの詳細設定
ロールを設定する方法は、次の通りです。
NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
ロール名をクリックします。
ロールの詳細画面下の [ポリシー] タブと [ロール適用対象] タブを確認します。
- ポリシー: ロールにポリシーを付与または回収できます。
- [すべての権限追加] ボタンをクリックすると、すべての操作を実行できる権限を付与できます。
- ロール適用対象: ロールのタイプに応じてロールに適用される対象を設定します。
- Server Role: ロールを付与する serverリソースを指定できます。Serverリソースごとに1つのロールのみ付与できます。Serverリソース指定画面が表示されたら、リソースを指定してから [適用] ボタンをクリックします。
- Account Role: ロールを付与するメインアカウントを指定します。本人のアカウントではない他のメインアカウントを指定する場合は、アカウント名とログイン IDを入力してアカウント認証を行う必要があります。
- Single Sign-On Role: Ncloud Single Sign-Onで Assignmentを設定時、Ncloud Single Sign-Onの Assignment情報をロール適用対象として照会できます。
- Service Role: ロールを付与するサービスを指定します。現在のロール適用対象は Data Flowサービスを対象にしてのみ指定可能で、今後拡大する予定です。
- ポリシー: ロールにポリシーを付与または回収できます。
- account roleの適用対象として設定されたメインアカウントは、サブアカウントが Account Roleにロールを切り替えられるように、サブアカウントに switchRoleのポリシーを付与します。 switchRoleポリシーの付与方法は、switchRoleポリシーの付与をご参照ください。
- Single Sign-On Roleのポリシーは、Ncloud Single Sign-Onサービスで設定します。
ロール情報修正
ロール名と説明を修正する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
- ロール名をクリックします。
- ロールの詳細画面で [修正] ボタンをクリックします。
- ロール名と説明を修正できます。
- ロールタイプが Accountの場合は、有効セッションの有効期限切れ時間も修正できます。
- ロールタイプは修正できません。
- ロール名と説明を修正できます。
- ロールの修正が完了したら、 [修正] ボタンをクリックします。
Single Sign-On Roleの詳細は、Ncloud Single Sign-Onサービスで修正します。
ロール削除
ロールを削除する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
- ロールリストで、削除するロールのチェックボックスをクリックします。
- [削除] ボタンをクリックします。
- 削除画面が表示されたら、 [削除] ボタンをクリックします。
- Single Sign-On Roleは、Ncloud Single Sign-Onで削除する必要があります。
- Service Roleは削除される場合、ロールを使用しているサービスアプリケーションが停止する可能性があるため、当該サービスでロールを解除してから削除します。
ロール無効化
ロールの無効化機能は、ロールを利用できないように停止状態に切り替える機能です。ロールを無効にする方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
- ロール名をクリックします。
- ロールの詳細画面で [無効化] ボタンをクリックします。
- 無効化のポップアップが表示されたら、 [無効化] ボタンをクリックします。
- 無効になったロールは、 状態 の項目が 停止 と表示されます。
- Server Roleを無効にすると、access keyも無効になります。
- Account Roleを無効にすると、ロールが切り替えられたサブアカウントは自動的にログアウトされ、Secure Token Service(STS)も有効期限切れになります。
- Single Sign-On Roleは、Ncloud Single Sign-Onで無効にする必要があります。
- Service Roleを無効化すると、ロールが適用されたサービスアプリケーションが停止される場合があります。
ロール切り替え
ロールの切り替え方法は、次の通りです。ロールの切り替えは、サブアカウントのみ使用できます。
- NAVERクラウドプラットフォームコンソール右上のユーザー名をクリックします。
- [ロール切り替え] ボタンをクリックします。
- ロール切り替えのポップアップで切り替えるロールを選択します。
- account role: ロールリストで使用するロールのロール切り替え状態を ONに設定します。
- ロールを初めて登録する場合は、account role NRNの情報を入力するために、メインアカウントに account role情報をリクエストします。
- Single Sign-On role: Single Sign-On Roleタブの下の [ロール切り替え] ボタンをクリックし、切り替えるロールを選択します。
- account role: ロールリストで使用するロールのロール切り替え状態を ONに設定します。
ロール切り替えの状態では、ロールを登録・修正・削除できません。必要に応じて [サブアカウントに戻る] ボタンをクリックし、サブアカウントの状態でロールを登録・修正・削除します。
switchRoleポリシーの付与
Account roleのロール適用対象として設定されたメインアカウントは、サブアカウントがロールを切り替えられるように、switchRoleポリシーをサブアカウント対象に付与します。
サブアカウント対象に switchRoleのポリシーを付与する方法は、次の通りです。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
- [ポリシー作成] ボタンをクリックします。
- 適用対象設定 を入力してポリシーを作成します。
- サービス: Sub Account
- アクション名: Change/switchRole
- Resource: リソース指定有無を選択 > [リソース選択] ボタンをクリック > 付与された Account Roleリソースを選択して適用
- 他のメインアカウントの Account Roleを付与された場合は、[他のアカウントリソースを登録する] ボタンをクリックして Account Role NRNを認証した後にリソースを適用します。
- 他のメインアカウントの Account Roleを付与された場合は、[他のアカウントリソースを登録する] ボタンをクリックして Account Role NRNを認証した後にリソースを適用します。
- NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Sub Accounts メニューを順にクリックします。
- ロール切り替えを使用するサブアカウントのログイン IDをクリックします。
- [サブアカウントの詳細] 画面でポリシー タブのメニューをクリックし、 [追加] ボタンをクリックします。
- 作成したユーザー定義ポリシーを追加します。
- ポリシーが正常に追加されたか確認します。