- 印刷する
- PDF
Sub Account の権限管理
- 印刷する
- PDF
Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、Sub Accountのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のために管理型(System Managed)ポリシーとユーザー定義(User Created)ポリシーが提供されます。
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountの詳細は、NAVERクラウドプラットフォームポータルのサービス > Management & Governance > Sub Accountメニューと Sub Accountご利用ガイドをご参照ください。
管理型ポリシー
管理型ポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントに管理型ポリシーを付与すると、権限を付与されたサブアカウントは Sub Accountを利用できるようになります。Sub Accountの管理型ポリシーについての簡単な説明は次の通りです。
ポリシー名 | 説明 |
---|---|
NCP_ADMINISTRATOR | NAVERクラウドプラットフォーム内のポータルやコンソールへのアクセスにおいてメインアカウントと同様にアクセスできる権限 |
NCP_FINANCE_MANAGER | ポータルマイページの利用管理メニュー、決済手段管理、ソリューション利用状況メニューを確認できる権限 |
NCP_SUB_ACCOUNT_MANAGER | Sub Accountのすべての機能を利用できる権限 |
NCP_SUB_ACCOUNT_VIEWER | Sub Accountのリストを見る、照会機能のみを利用できる権限 |
ユーザー定義ポリシー
ユーザー定義ポリシーは、ユーザーが作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Sub Accountのユーザー定義ポリシーについての簡単な説明は次の通りです。
区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 |
---|---|---|---|---|---|
View | View/getResourceCount | - | - | Dashboard | Sub Accountリソース情報の確認 |
View | View/getSubAccountList | - | - | SubAccount | サブアカウントリストの確認 |
View | View/getSubAccountDetail | View/getSubAccountList | SubAccount | SubAccount | サブアカウント詳細情報の確認 |
View | View/getSubAccountAccessKey | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | サブアカウントの Access Key照会 |
View | View/getGroupList | - | - | Group | グループリストの確認 |
View | View/getGroupDetail | View/getGroupList | Group | Group | グループ詳細情報の確認 |
View | View/getPolicyList | - | - | Policy | ユーザーが作成したポリシーリストの照会 |
View | View/getPolicyDetail | View/getPolicyList | Policy | Policy | ユーザーが作成したポリシーの詳細情報を確認 |
View | View/validatePolicy | - | - | Policy | ポリシーの有効性確認 |
View | View/getRoleList | - | - | Role | ロールリストの照会 |
View | View/getRoleDetail | View/getRoleList | Role | Role | ロール詳細情報の確認 |
View | View/getServerInstanceList | - | - | Role | ロールを付与する Serverリソースリストの照会 |
View | View/getServerInstanceDetail | View/getServerInstanceList | VPCServer:Server | Role | ロールを付与する Serverリソース詳細情報を確認 |
View | View/getStsSessionToken | - | - | STS | STSトークンの作成および作成した STSトークン情報の照会 |
Change | Change/manageLoginPageSetting | - | - | Dashboard | アクセス用ページの設定管理 |
Change | Change/managePasswordSetting | - | - | Dashboard | パスワード設定の管理 |
Change | Change/manageSessionSetting | - | - | Dashboard | セッション期限切れ設定の管理 |
Change | Change/createSubAccount | View/getSubAccountList | - | SubAccount | サブアカウントの作成 |
Change | Change/updateSubAccount | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | サブアカウントの修正 |
Change | Change/deleteSubAccount | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | サブアカウントの削除 |
Change | Change/suspendSubAccount | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | サブアカウントの一時停止・解除 |
Change | Change/resetSubAccountPassword | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | サブアカウントのパスワード初期化 |
Change | Change/addPolicyToSubAccount | View/getSubAccountDetail View/getSubAccountList View/getPolicyList View/getPolicyDetail | SubAccount | SubAccount | サブアカウントにポリシー割り当て |
Change | Change/removePolicyFromSubAccount | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | サブアカウントからポリシー削除 |
Change | Change/createSubAccountAccessKey | View/getSubAccountDetail View/getSubAccountList View/getSubAccountAccessKey | SubAccount | SubAccount | サブアカウントの Access Key作成 |
Change | Change/deleteSubAccountAccessKey | View/getSubAccountDetail View/getSubAccountList View/getSubAccountAccessKey | SubAccount | SubAccount | サブアカウントの Access Key削除 |
Change | Change/manageSubAccountAccessKeyState | View/getSubAccountDetail View/getSubAccountList View/getSubAccountAccessKey | SubAccount | SubAccount | サブアカウントのアクセスキーの状態管理 |
Change | Change/manageSubAccountAllowSourceSetting | View/getSubAccountDetail View/getSubAccountList | SubAccount | SubAccount | コンソールまたは APIにアクセスできる Source IPもしくは VPC Server返却・修正 |
Change | Change/resetSubAccountMFA | getSubAccountList getSubAccountDetail | SubAccount | SubAccount | サブアカウントの2段階認証設定の初期化 |
Change | Change/addSubAccountToGroup | View/getGroupList View/getSubAccountDetail View/getSubAccountList View/getGroupDetail | Group SubAccount | Group SubAccount | グループにサブアカウント追加 |
Change | Change/removeSubAccountFromGroup | View/getGroupList View/getSubAccountDetail View/getSubAccountList View/getGroupDetail | Group SubAccount | Group SubAccount | サブアカウントをグループから削除 |
Change | Change/addPolicyToGroup | View/getGroupList View/getPolicyList View/getPolicyDetail View/getGroupDetail | Group | Group | グループにポリシー割り当て |
Change | Change/removePolicyFromGroup | View/getGroupList View/getGroupDetail | Group | Group | グループからポリシー削除 |
Change | Change/createGroup | View/getGroupList | - | Group | グループの作成 |
Change | Change/updateGroup | View/getGroupList View/getGroupDetail | Group | Group | グループ情報修正 |
Change | Change/deleteGroup | View/getGroupList View/getGroupDetail | Group | Group | グループの削除 |
Change | Change/createPolicy | View/getPolicyList | - | Policy | 新規ポリシー作成 |
Change | Change/updatePolicy | View/getPolicyList View/getPolicyDetail | Policy | Policy | ユーザーが作成したポリシーの変更 |
Change | Change/deletePolicy | View/getPolicyList View/getPolicyDetail | Policy | Policy | ユーザーが作成したポリシーの削除 |
Change | Change/createRole | View/getRoleList | - | Role | ロールの作成 |
Change | Change/updateRole | View/getRoleDetail View/getRoleList | Role | Role | ロール修正 |
Change | Change/deleteRole | View/getRoleDetail View/getRoleList | Role | Role | ロールの削除 |
Change | Change/addPolicyToRole | View/getPolicyList View/getRoleDetail View/getRoleList View/getPolicyDetail | Role | Role | ロールにポリシー割り当て |
Change | Change/removePolicyFromRole | View/getRoleDetail View/getRoleList | Role | Role | ロールからポリシー削除 |
Change | Change/attachRoleToServer | View/getRoleDetail View/getServerInstanceList View/getRoleList View/getServerInstanceDetail | Role | Role | Serverリソースにロール付与 |
Change | Change/detachRoleFromServer | View/getRoleDetail View/getRoleList | Role | Role | Serverリソースのロール削除 |
Change | Change/suspendRole | View/getRoleDetail View/getRoleList | Role | Role | サブアカウントを一時停止・解除 |
Change | Change/attachRoleToAccont | View/getRoleDetail View/getRoleList | Role | Role | Account Roleにターゲットアカウントを設定 |
Change | Change/detachRoleFromAccont | View/getRoleDetail View/getRoleList | Role | Role | Account Roleのターゲットアカウントを削除 |
Change | Change/switchRole | - | Role | Role | 割り当てられた Account Roleに権限を転換 |
特定のアクションに対する権限が付与されても、関連する必須アクションに対する権限を一緒に付与されていない場合、作業は正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与される機能を提供しています。ただし、自動的に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際にご注意ください。