ポリシーとロール管理

Classic/VPC環境で利用できます。

ポリシーとロールを作成して管理する方法について説明します。

ポリシー管理

ポリシーは、サブアカウントのユーザーが操作できる権限の束です。サブアカウントやグループにポリシーを付与でき、サブアカウントは付与されたポリシーに応じてポータルやコンソールでの権限が変わります。
ポリシーのタイプは次の通りです。

マネージドポリシー: ユーザーの利便性を考慮し、NAVERクラウドプラットフォームで独自に定義したロールベースのポリシーです。サービスの Change/View権限を予め定義して提供するポリシーで、ユーザーは変更または削除できません。
ユーザー定義ポリシー: アカウントユーザーが作成できるポリシーです。

ユーザー定義ポリシー作成

各サービスの様々な詳細アクションを組み合わせてポリシーを作成できます。例えば、「Serverリスト照会」権限と「特定サーバ停止」権限のみ実行できるサブアカウントを作成して担当者に割り当てできます。すべてのサービスにおいて詳細アクション機能を提供しているのではなく、サービス別に提供する詳細アクションも異なりますので、詳細は各サービスの権限管理ページをご参照ください。
アカウントユーザーがユーザー定義ポリシーを直接作成する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Policiesメニューを順にクリックします。
[ポリシー作成] ボタンをクリックします。
ポリシー情報で作成したいポリシー名と説明を入力します。
- ポリシー名には、文字、数字、記号(.、-、_)のみ入力でき、先頭は文字にします。
ポリシー適用対象領域でポリシーを適用するサービスを選択します。
- サービス選択時、当該サービスで提供するアクションタイプが表示されます。
- アクション単位はサービスによって異なり、サービス別アクションの詳細は、各サービスの権限管理ガイドをご参照ください。
ポリシーに適用するアクション名を選択します。
- 閲覧権限: 当該サービスの照会機能のみ使用できる権限。[開く] ボタンをクリックすると、詳細権限を選択可能。
- 変更権限: 当該サービスの作成・変更・削除などの機能を使用できる権限。[開く] ボタンをクリックすると、詳細権限を選択可能。
参考

アクションを選択すると、関連するアクションが自動的に選択されるため、ユーザーはアクション別の関係が分からなくてもポリシーを作成できます。自動的に選択されたアクションの解除もできますが、関連するアクションが削除されると、サブアカウントを円滑に使用する上で問題が生じることもあります。例えばサーバ詳細情報の照会権限を選択すると、サーバリスト照会権限も自動的に選択されますが、ユーザーが直接サーバリストの照会権限を強制的に解除する場合はサーバの詳細情報を照会できなくなります。
ポリシーに適用する Conditionを設定します。
- 条件キー: ポリシーに適用するプロパティ情報。Conditionに設定された「キー: 値」と権限チェック対象の「キー: 値」を比較して権限チェック
- 演算子: 権限チェック時に権限チェック対象の「キー: 値」を確認する文字列条件
- タグキー、値: リソースを識別するためのキー/値のペアで、条件キーで指定されたプロパティがどのキー、値を持つべきかを意味する

参考

Condition機能は最小権限単位が「詳細アクション単位」のサービスのみで使用でき、ncp:resourceTagと ncp:requestTagの条件キーは最小権限単位が「ABAC単位」のサービスのみで使用できます。サービス別に付与可能な最小権限単位は、サービス別権限情報で確認できます。
NAVERクラウドプラットフォームで提供する条件キー、演算子、値に関する情報は、Condition条件キーと演算子情報で確認できます。
アクションによっては指定できない条件キーがあり、指定できない条件キーを Conditionに設定した場合、当該アクションは実行できません。アクション別に指定できる条件キーは、サービス別 Sub Account の権限管理で確認できます。

ポリシーに適用する Resourcesを指定します。別途 Resourcesを指定しない場合、リソースタイプの中のすべてのリソースが指定されます。
[適用対象を追加] ボタンをクリックします。
適用対象リストにポリシーが追加されたかを確認します。
ポリシーを識別するタグの指定が必要な場合、 [タグ管理] 領域でタグを指定します。
[作成] ボタンをクリックします。

参考

ポリシーは最大500個まで作成できます。

ポリシーの詳細情報を確認

ポリシーの詳細情報を確認する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Policiesメニューを順にクリックします。
画面右上の検索領域でポリシーを入力するか、そのポリシーに関連するサービスを選択します。
ポリシーリストでポリシー名をクリックします。
ポリシーの詳細内容を確認できます。

項目説明

ID

NRN

作成日時

変更日時

ポリシー名

ポリシータイプ

ポリシーの説明

タグ
詳細情報画面下部の [適用対象] タブ、 [割り当てリソース] タブをご確認ください。
- 適用対象: ポリシーに適用された権限情報を確認できます。
- 割り当てリソース: ポリシーが割り当てられているリソース情報(Sub Account、Group、Role)を確認でき、 [解除] ボタンでポリシーの割り当てを解除できます。

項目	説明
	ID
	NRN
	作成日時
	変更日時
	ポリシー名
	ポリシータイプ
	ポリシーの説明
	タグ

ポリシー変更

ポリシーを変更する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Policiesメニューを順にクリックします。
ポリシーリストでポリシー名をクリックします。
ポリシーの詳細画面で [変更] ボタンをクリックします。
ポリシー情報を変更した後、 [変更] ボタンをクリックします。

ポリシー削除

ポリシーを削除する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Policiesメニューを順にクリックします。
ポリシーリストでポリシー名をクリックします。
ポリシーの詳細画面上の [削除] ボタンをクリックします。
削除画面が表示されたら、 [削除] ボタンをクリックします。

参考

ポリシーが割り当てられているリソースがある場合、ポリシーを削除できません。ポリシーの詳細ページでポリシーの割り当てを解除後、ポリシーを削除できます。

ロール管理

ロールは、ポリシーで構成されている臨時認証情報です。サブアカウントにのみ付与できる永久的な認証情報であるポリシーとは異なり、ロールはアカウントだけでなく、Serverのようなリソースにも権限を付与できます。

ロールのタイプは次の通りです。

Server Role: Server Roleは、VPCベースの Serverリソースにのみ割り当てます。ロールが割り当てられた Serverでは、認証情報のための別途の Access Keyを保存しなくても、NAVERクラウドプラットフォーム内のリソースにアクセスできます。
Account Role: Account Roleは、サブアカウントにメインアカウントのポータル/コンソールにアクセス可能な権限を割り当てできます。ロールが割り当てられたサブアカウントは、ロールを切り替えることで、対象アカウントのリソースにアクセスできます。
Single Sign-On Role: Single Sign-On Roleは、Ncloud Single Sign-Onの External IdPユーザーを対象に、ポータル/コンソールにアクセス可能な権限を割り当てできます。
Service Role: Service Roleは、サービス対象に他のサービスのリソースにアクセス可能な権限を割り当てできます。

参考

Server Roleを活用すると、Server内に保存されている Access Keyが流出するリスクを防ぐことができ、定期的に Keyを取り替えるためのリリースタスクを省略できます。

ロール作成

ロールを作成する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Rolesメニューを順にクリックします。
[ロール作成] ボタンをクリックします。
ポリシー情報画面が表示されたら、作成するロールの名前、タイプ、説明を入力します。
- ロールのタイプが Accountの場合は、未使用セッションの有効期限切れ時間も入力します。
ロールを識別するタグの指定が必要な場合、 [タグ管理] 領域でタグを指定します。
[作成] ボタンをクリックします。

参考

Single Sign-On Roleの作成は、Ncloud Single Sign-Onサービスで可能です。

ロール詳細情報の確認

ポリシーの詳細情報を確認する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Rolesメニューを順にクリックします。
画面右上の検索領域でロールを入力します。
ロールリストでロール名をクリックします。
ロール設定情報を確認できます。

項目説明

ID

NRN

作成日時

変更日時

ロール名

タイプ

ステータス

未使用セッションの有効期限時間

説明

タグ
詳細情報画面下部の [ポリシー] タブと [ロール適用対象] タブを確認します。
- ポリシー: ロールにポリシーを付与または回収できます。
- ロール適用対象: ロールのタイプに応じてロールに適用される対象を設定します。

項目	説明
	ID
	NRN
	作成日時
	変更日時
	ロール名
	タイプ
	ステータス
	未使用セッションの有効期限時間
	説明
	タグ

ロールの詳細設定

ロールを設定する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Rolesメニューを順にクリックします。
ロール名をクリックします。
ロールの詳細画面下の [ポリシー] タブと [ロール適用対象] タブを確認します。
- ポリシー: ロールにポリシーを付与または回収できます。
  - [すべての権限追加] ボタンをクリックすると、すべての操作を実行できる権限を付与できます。
- ロール適用対象: ロールのタイプに応じてロールに適用される対象を設定します。
  - Server Role: ロールを付与する serverリソースを指定できます。Serverリソースごとに1つのロールのみ付与できます。Serverリソース指定画面が表示されたら、リソースを指定してから [適用] ボタンをクリックします。
  - Account Role: ロールを付与するメインアカウントを指定します。本人のアカウントではない他のメインアカウントを指定する場合は、アカウント名とログイン IDを入力してアカウント認証を行う必要があります。
  - Single Sign-On Role: Ncloud Single Sign-Onで Assignmentを設定時、Ncloud Single Sign-Onの Assignment情報をロール適用対象として照会できます。
  - Service Role: ロールを付与するサービスを指定します。
参考
- account roleの適用対象として設定されたメインアカウントは、サブアカウントが Account Roleにロールを切り替えられるように、サブアカウントに switchRoleのポリシーを付与します。 switchRoleポリシーの付与方法は、switchRoleポリシーの付与をご参照ください。
- Single Sign-On Roleのポリシーは、Ncloud Single Sign-Onサービスで設定します。

ロール情報変更

ロール名と説明を変更する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Rolesメニューを順にクリックします。
ロール名をクリックします。
ロールの詳細画面で [変更] ボタンをクリックします。
- ロール名と説明を変更できます。
  - ロールタイプが Accountの場合は、有効セッションの有効期限切れ時間も変更できます。
- ロールタイプは変更できません。
ロールの変更が完了したら、 [変更] ボタンをクリックします。

参考

Single Sign-On Roleの詳細は、Ncloud Single Sign-Onサービスで変更する必要があります。

ロール削除

ロールを削除する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Rolesメニューを順にクリックします。
ロールリストで、削除するロールのチェックボックスをクリックします。
[削除] ボタンをクリックします。
削除画面が表示されたら、 [削除] ボタンをクリックします。

参考

Single Sign-On Roleは、Ncloud Single Sign-Onで削除する必要があります。
Service Roleは削除される場合、ロールを使用しているサービスアプリケーションが停止する可能性があるため、当該サービスでロールを解除してから削除します。

ロール無効化

ロールの無効化機能は、ロールを利用できないように停止ステータスに切り替える機能です。ロールを無効にする方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Rolesメニューを順にクリックします。
ロール名をクリックします。
ロールの詳細画面で [無効化] ボタンをクリックします。
無効化のポップアップが表示されたら、 [無効化] ボタンをクリックします。
- 無効になったロールは、ステータスの項目が停止と表示されます。

参考

Server Roleを無効にすると、access keyも無効になります。
Account Roleを無効にすると、ロールが切り替えられたサブアカウントは自動的にログアウトされ、Secure Token Service(STS)も有効期限切れになります。
Single Sign-On Roleは、Ncloud Single Sign-Onで無効にする必要があります。
Service Roleを無効化すると、ロールが適用されたサービスアプリケーションが停止される場合があります。

ロール切り替え

ロールの切り替え方法は、次の通りです。ロールの切り替えは、サブアカウントのみ使用できます。

NAVERクラウドプラットフォームコンソール右上のユーザー名をクリックします。
[ロール切り替え] ボタンをクリックします。
ロール切り替えのポップアップで切り替えるロールを選択します。
- account role: ロールリストで使用するロールのロール切り替えのステータスを ONに設定します。
  - ロールを初めて登録する場合は、account role NRNの情報を入力するために、メインアカウントに account role情報をリクエストします。
- Single Sign-On role: Single Sign-On Roleタブの下の [ロール切り替え] ボタンをクリックし、切り替えるロールを選択します。

参考

ロール切り替えのステータスでは、ロールを登録・変更・削除できません。必要に応じて [サブアカウントに戻る] ボタンをクリックし、サブアカウントのステータスでロールを登録・変更・削除します。

switchRoleポリシーの付与

Account roleのロール適用対象として設定されたメインアカウントは、サブアカウントがロールを切り替えられるように、switchRoleポリシーをサブアカウント対象に付与します。

サブアカウント対象に switchRoleのポリシーを付与する方法は、次の通りです。

NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Policiesメニューを順にクリックします。
[ポリシー作成] ボタンをクリックします。
適用対象設定を入力してポリシーを作成します。
- サービス: Sub Account
- アクション名: Change/switchRole
- Resource: リソース指定有無を選択 > [リソース選択] ボタンをクリック > 付与された Account Roleリソースを選択して適用
  - 他のメインアカウントの Account Roleを付与された場合は、[他のアカウントリソースを登録する]ボタンをクリックして Account Role NRNを認証した後にリソースを適用します。
NAVERクラウドプラットフォームコンソールで、 > Services > Management & Governance > Sub Account > Sub Accountメニューを順にクリックします。
ロール切り替えを使用するサブアカウントのログイン IDをクリックします。
[サブアカウントの詳細] 画面でポリシータブのメニューをクリックし、 [追加] ボタンをクリックします。
作成したユーザー定義ポリシーを追加します。
ポリシーが正常に追加されたか確認します。