ポリシーとロールの管理

Classic/VPC環境で利用できます。

ポリシーとロールを作成して管理する方法について説明します。

ポリシー管理

ポリシーは、サブアカウントのユーザーが操作できる権限の束です。サブアカウントやグループにポリシーを付与でき、サブアカウントは付与されたポリシーに応じてポータルやコンソールでの権限が変わります。
ポリシーのタイプは次の通りです。

• マネージドポリシー: ユーザーの利便性を考慮し、NAVERクラウドプラットフォームで独自に定義したロールベースのポリシーです。サービスの Change/View権限を予め定義して提供するポリシーで、ユーザーは変更または削除できません。
• ユーザー定義ポリシー: アカウントユーザーが作成できるポリシーです。

ユーザー定義ポリシー作成

各サービスの様々な詳細アクションを組み合わせてポリシーを作成できます。例えば、「Serverリスト照会」権限と「特定サーバ停止」権限のみ実行できるサブアカウントを作成して担当者に割り当てできます。すべてのサービスにおいて詳細アクション機能を提供しているのではなく、サービス別に提供する詳細アクションも異なりますので、詳細は各サービスの権限管理ページをご参照ください。
アカウントユーザーがユーザー定義ポリシーを直接作成する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。

2. [ポリシー作成] ボタンをクリックします。

3. ポリシー情報 で作成したいポリシー名と説明を入力します。

• ポリシー名には、文字、数字、記号(.、-、_)のみ入力でき、先頭は文字にします。

4. ポリシー適用対象 領域でプラットフォームを選択した後、ポリシーを適用するサービスを選択します。
   

• サービス選択時、当該サービスで提供するアクションタイプが表示されます。
• アクション単位はサービスによって異なり、サービス別アクションの詳細は、各サービスの権限管理ガイドをご参照ください。

5. 適用するアクション名を選択します。

   • 閲覧権限: 当該サービスの照会機能のみ使用できる権限。 [開く] ボタンをクリックすると、詳細権限を選択可能
   • 変更権限: 当該サービスの作成・変更・削除などの機能を使用できる権限。 [開く] ボタンをクリックすると、詳細権限を選択可能
   参考

   アクションを選択すると、関連するアクションが自動的に選択されるため、ユーザーはアクション別の関係が分からなくてもポリシーを作成できます。自動的に選択された関連アクションを解除できますが、関連アクションが削除されると、サブアカウントを円滑に使用する上で問題が生じることもあります。例えば、サーバ詳細情報の照会権限を選択すると、サーバリスト照会権限も自動的に選択されますが、ユーザーがその権限を解除すると、サーバ詳細情報が照会できなくなります。

6. ポリシーに適用する Conditionを設定します。

   • 条件キー: ポリシーに適用するプロパティ情報。Conditionに設定された「キー:値」と権限チェック対象の「キー:値」を比較して権限チェック
   • 演算子: 権限チェック時に権限チェック対象の「キー:値」を確認する文字列条件
   • タグキー、値: リソースを識別するためのキー/値のペアで、条件キーで指定されたプロパティがどのキー、値を持つべきかを意味する

7. 適用対象リストにポリシーが追加されたかを確認します。
   
   • サービスを選択すると、コンソールで当該サービスにアクセスできる権限(ProductAccess Action)は自動的に追加されます。
8. [作成] ボタンをクリックします。

ポリシーの詳細情報を確認

ポリシーの詳細情報を確認する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。

2. 画面右上の検索領域でポリシーを入力するか、そのポリシーに関連するサービスを選択します。

3. ポリシーリストでポリシー名をクリックします。

4. ポリシーの詳細内容を確認できます。

   項目	説明
   ID	ポリシーの作成時に自動的に付与された ID
   NRN	Ncloud Resource Names. リソース名
   作成日時	ポリシーが作成された日時
   変更日時	ポリシーが変更された日時
   ポリシー名	ポリシー名
   ポリシータイプ	- SYSTEM_MANAGED: マネージドポリシーで、ユーザーの利便性を考慮し、NAVERクラウドプラットフォームで独自に定義したロールベースのポリシー - USER_CREATED: アカウントのユーザーが直接作成できるポリシー
   権限ステータス	- Allow: ポリシーでアクセスを許可
   ポリシーの説明	ポリシーの簡単な説明
   タグ	グループを簡単に分類できるようにタグキー/値を付与 - [タグ管理] を通じて、タグ全体の照会/作成/変更/削除が可能 - 1つのタグキーには1つのタグ値のみ付与可能 - 既に登録されているタグキーにタグ値を追加する場合、新規に入力されたタグ値に変更

5. 詳細情報画面下部の [適用対象] タブ、 [割り当てリソース] タブをご確認ください。

   • 適用対象: ポリシーに適用された権限情報を確認できます。
   • 割り当てリソース: ポリシーが割り当てられているリソース情報(Sub Account、Group、Role)を確認でき、 [解除] ボタンでポリシーの割り当てを解除できます。

ポリシー変更

ポリシーを変更する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
2. ポリシーリストでポリシー名をクリックします。
3. ポリシーの詳細画面で [変更] ボタンをクリックします。
4. ポリシー情報を変更し、 [変更] ボタンをクリックします。

ポリシー削除

ポリシーを削除する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
2. ポリシーリストでポリシー名をクリックします。
3. ポリシーの詳細画面上の [削除] ボタンをクリックします。
4. 削除画面が表示されたら、 [削除] ボタンをクリックします。

ロール管理

ロールは、ポリシーで構成されている臨時認証情報です。サブアカウントにのみ付与できる永久的な認証情報であるポリシーとは異なり、ロールはアカウントだけでなく、Serverのようなリソースにも権限を付与できます。

ロールのタイプは次の通りです。

• Server Role: Server Roleは、VPCベースの Serverリソースにのみ割り当てます。ロールが割り当てられた Serverでは、認証情報のための別途の Access Keyを保存しなくても、NAVERクラウドプラットフォーム内のリソースにアクセスできます。
• Account Role: Account Roleは、サブアカウントにメインアカウントのポータル/コンソールにアクセス可能な権限を割り当てできます。ロールが割り当てられたサブアカウントは、ロールを切り替えることで、対象アカウントのリソースにアクセスできます。
• Single Sign-On Role: Single Sign-On Roleは、Ncloud Single Sign-Onの External IdPユーザーを対象に、ポータル/コンソールにアクセス可能な権限を割り当てできます。
• Service Role: Service Roleは、サービス対象に他のサービスのリソースにアクセス可能な権限を割り当てできます。

ロール作成

ロールを作成する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
2. [ロール作成] ボタンをクリックします。
3. ポリシー情報 画面が表示されたら、作成するロールの名前、タイプ、説明を入力します。

• ロールのタイプが Accountの場合は、未使用セッションの有効期限切れ時間も入力します。

4. [作成] ボタンをクリックします。

ロール詳細情報の確認

ポリシーの詳細情報を確認する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。

2. 画面右上の検索領域でロールを入力します。

3. ロールリストでロール名をクリックします。

4. ロール設定情報を確認できます。

   項目	説明
   ID	ロールの作成時に自動的に付与された ID
   NRN	Ncloud Resource Names. リソース名
   作成日時	ロールが作成された日時
   変更日時	ロールが変更された日時
   ロール名	ロール名
   タイプ	ロールに適用される対象を区別するタイプ
   ステータス	ロールの有効化/無効化の有無
   未使用セッションの有効期限時間	ロール適用対象が Account Roleの場合に設定されたセッションの有効期限時間
   説明	ロールの簡単な説明
   タグ	グループを簡単に分類できるようにタグキー/値を付与 - [タグ管理] を通じて、タグ全体の照会/作成/変更/削除が可能 - 1つのタグキーには1つのタグ値のみ付与可能 - 既に登録されているタグキーにタグ値を追加する場合、新規に入力されたタグ値に変更

5. 詳細情報画面下部の [ポリシー] タブと [ロール適用対象] タブを確認します。

   • ポリシー: ロールにポリシーを付与または回収できます。
   • ロール適用対象: ロールのタイプに応じてロールに適用される対象を設定します。

ロールの詳細設定

ロールを設定する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。

2. ロール名をクリックします。

3. ロールの詳細画面下の [ポリシー] タブと [ロール適用対象] タブを確認します。

   • ポリシー: ロールにポリシーを付与または回収できます。
     • [すべての権限追加] ボタンをクリックすると、すべての操作を実行できる権限を付与できます。
   • ロール適用対象: ロールのタイプに応じてロールに適用される対象を設定します。
     • Server Role: ロールを付与する serverリソースを指定できます。Serverリソースごとに1つのロールのみ付与できます。Serverリソース指定画面が表示されたら、リソースを指定してから [適用] ボタンをクリックします。
     • Account Role: ロールを付与するメインアカウントを指定します。本人のアカウントではない他のメインアカウントを指定する場合は、アカウント名とログイン IDを入力してアカウント認証を行う必要があります。
     • Single Sign-On Role: Ncloud Single Sign-Onで Assignmentを設定時、Ncloud Single Sign-Onの Assignment情報をロール適用対象として照会できます。
     • Service Role: ロールを付与するサービスを指定します。
   参考

   • account roleの適用対象として設定されたメインアカウントは、サブアカウントが Account Roleにロールを切り替えられるように、サブアカウントに switchRoleのポリシーを付与します。 switchRoleポリシーの付与方法は、switchRoleポリシーの付与をご参照ください。
   • Single Sign-On Roleのポリシーは、Ncloud Single Sign-Onサービスで設定します。

ロール情報変更

ロール名と説明を変更する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
2. ロール名をクリックします。
3. ロールの詳細画面で [変更] ボタンをクリックします。
   • ロール名と説明を変更できます。
     • ロールタイプが Accountの場合は、有効セッションの有効期限切れ時間も変更できます。
   • ロールタイプは変更できません。
4. ロールの変更が完了したら、 [変更] ボタンをクリックします。

ロール削除

ロールを削除する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
2. ロールリストで、削除するロールのチェックボックスをクリックします。
3. [削除] ボタンをクリックします。
4. 削除画面が表示されたら、 [削除] ボタンをクリックします。

ロール無効化

ロールの無効化機能は、ロールを利用できないように停止ステータスに切り替える機能です。ロールを無効にする方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Roles メニューを順にクリックします。
2. ロール名をクリックします。
3. ロールの詳細画面で [無効化] ボタンをクリックします。
4. 無効化のポップアップが表示されたら、 [無効化] ボタンをクリックします。
   • 無効になったロールは、 ステータス の項目が 停止 と表示されます。

ロール切り替え

ロールの切り替え方法は、次の通りです。ロールの切り替えは、サブアカウントのみ使用できます。

1. NAVERクラウドプラットフォームコンソール右上のユーザー名をクリックします。
2. [ロール切り替え] ボタンをクリックします。
   
3. ロール切り替えのポップアップで切り替えるロールを選択します。
   • account role: ロールリストで使用するロールのロール切り替えのステータスを ONに設定します。
     • ロールを初めて登録する場合は、account role NRNの情報を入力するために、メインアカウントに account role情報をリクエストします。
   • Single Sign-On role: Single Sign-On Roleタブの下の [ロール切り替え] ボタンをクリックし、切り替えるロールを選択します。

switchRoleポリシーの付与

Account roleのロール適用対象として設定されたメインアカウントは、サブアカウントがロールを切り替えられるように、switchRoleポリシーをサブアカウント対象に付与します。

サブアカウント対象に switchRoleのポリシーを付与する方法は、次の通りです。

1. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Policies メニューを順にクリックします。
2. [ポリシー作成] ボタンをクリックします。
3. 適用対象設定 を入力してポリシーを作成します。

• サービス: Sub Account
• アクション名: Change/switchRole
• Resource: リソース指定有無を選択 > [リソース選択] ボタンをクリック > 付与された Account Roleリソースを選択して適用
  • 他のメインアカウントの Account Roleを付与された場合は、 [他のアカウントリソースを登録する] ボタンをクリックして Account Role NRNを認証した後にリソースを適用します。
    

4. NAVERクラウドプラットフォームコンソールで、 Services > Management & Governance > Sub Account > Sub Accounts メニューを順にクリックします。
5. ロール切り替えを使用するサブアカウントのログイン IDをクリックします。
6. [サブアカウントの詳細] 画面でポリシー タブのメニューをクリックし、 [追加] ボタンをクリックします。
7. 作成したユーザー定義ポリシーを追加します。
8. ポリシーが正常に追加されたか確認します。