Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームのアカウント管理サービスである Sub Accountを使用すると、Sub Accountのアクセス権限を様々な方法で設定できます。Sub Accountでは、管理および運用権限の設定のためにマネージド(System Managed)ポリシーとユーザー定義(User Created)ポリシーを提供します。
参考
Sub Accountは、ご利用の申し込みの際に別途料金が発生しない無料サービスです。Sub Accountに関する詳細は、NAVERクラウドプラットフォームポータルの サービス > Management & Governance > Sub Account メニューと Sub Account ご利用ガイドをご参照ください。
マネージドポリシー
マネージドポリシーは、ユーザーの便宜を図るために、NAVERクラウドプラットフォームが独自に定義したロールベースのポリシーです。Sub Accountで作成したサブアカウントにマネージドポリシーを付与すると、権限を付与されたサブアカウントは Sub Accountを利用できるようになります。Sub Accountのマネージドポリシーについての簡単な説明は次の通りです。
| ポリシー名 | ポリシーの説明 |
|---|---|
| NCP_ADMINISTRATOR | メインアカウントと同等の権限で、すべてのサービスにアクセスできる権限 |
| NCP_INFRA_MANAGER | すべてのサービスにアクセスできるものの、コンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみアクセスが制限された権限 |
| NCP_FINANCE_MANAGER | Cost Explorerサービスとコンソールの My Account > 課金情報と費用管理 > 請求と決済管理メニューのみにアクセスできる権限 |
| NCP_SUB_ACCOUNT_MANAGER | External Accessを含む Sub Accountのすべての機能を利用できる権限 |
| NCP_SUB_ACCOUNT_VIEWER | Sub Accountのリストを見る、照会機能のみを利用できる権限 |
| NCP_EXTERNAL_ACCESS_MANAGER | External Accessのすべての機能が利用できる権限 |
| NCP_EXTERNAL_ACCESS_VIEWER | External Accessのリストを見る、照会機能のみを利用できる権限 |
ユーザー定義ポリシー
ユーザー定義ポリシーは、ユーザーが直接作成できるポリシーです。Sub Accountで作成したサブアカウントにユーザー定義ポリシーを付与すると、権限を付与されたサブアカウントはユーザーが割り当てたアクションの組み合わせでのみ利用できるようになります。Sub Accountのユーザー定義ポリシーについての簡単な説明は次の通りです。
Sub Account
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 | 適用可能な条件キー |
|---|---|---|---|---|---|---|
| View | View/getResourceCount | - | - | Dashboard | Sub Accountリソース情報の確認 | - Principalプロパティ条件キー全体 |
| View | View/getSubAccountList | - | - | SubAccount | サブアカウントリストの確認 | - Principalプロパティ条件キー全体 |
| View | View/getSubAccountDetail | View/getSubAccountList | SubAccount | SubAccount | サブアカウント詳細情報の確認 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| View | View/getSubAccountAccessKey | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | サブアカウントの Access Keyの照会 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| View | View/getGroupList | - | - | Group | グループリストの確認 | - Principalプロパティ条件キー全体 |
| View | View/getGroupDetail | View/getGroupList | Group | Group | グループ詳細情報の確認 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| View | View/getPolicyList | - | - | Policy | ユーザーが作成したポリシーリストの照会 | - Principalプロパティ条件キー全体 |
| View | View/getPolicyDetail | View/getPolicyList | Policy | Policy | ユーザーが作成したポリシーの詳細情報を確認 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| View | View/validatePolicy | - | - | Policy | ポリシーの有効性確認 | - Principalプロパティ条件キー全体 |
| View | View/getRoleList | - | - | Role | ロールリストの照会 | - Principalプロパティ条件キー全体 |
| View | View/getRoleDetail | View/getRoleList | Role | Role | ロール詳細情報の確認 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| View | View/getServerInstanceList | - | - | Role | ロールを付与する Serverリソースリストの照会 | - Principalプロパティ条件キー全体 |
| View | View/getServerInstanceDetail | View/getServerInstanceList | VPCServer:Server | Role | ロールを付与する Serverリソース詳細情報を確認 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| View | View/getStsSessionToken | - | - | STS | STSトークンの作成および作成した STSトークン情報の照会 | - Principalプロパティ条件キー全体 |
| Change | Change/manageLoginPageSetting | - | - | Dashboard | アクセス用ページの設定管理 | - Principalプロパティ条件キー全体 |
| Change | Change/managePasswordSetting | - | - | Dashboard | パスワード設定の管理 | - Principalプロパティ条件キー全体 |
| Change | Change/manageSessionSetting | - | - | Dashboard | セッション期限切れ設定の管理 | - Principalプロパティ条件キー全体 |
| Change | Change/createSubAccount | View/getSubAccountList | - | SubAccount | サブアカウント作成 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/updateSubAccount | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | サブアカウント変更 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/deleteSubAccount | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | サブアカウント削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/suspendSubAccount | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | サブアカウントの一時停止・解除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/resetSubAccountPassword | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | サブアカウントのパスワード初期化 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/addPolicyToSubAccount | View/getSubAccountDetail View/getSubAccountList View/getPolicyList View/getPolicyDetail |
SubAccount | SubAccount | サブアカウントにポリシー割り当て | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/removePolicyFromSubAccount | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | サブアカウントからポリシー削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/createSubAccountAccessKey | View/getSubAccountDetail View/getSubAccountList View/getSubAccountAccessKey |
SubAccount | SubAccount | サブアカウントの Access Key作成 | - Principalプロパティ条件キー全体 |
| Change | Change/deleteSubAccountAccessKey | View/getSubAccountDetail View/getSubAccountList View/getSubAccountAccessKey |
SubAccount | SubAccount | サブアカウントの Access Key削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/manageSubAccountAccessKeyState | View/getSubAccountDetail View/getSubAccountList View/getSubAccountAccessKey |
SubAccount | SubAccount | サブアカウントのアクセスキーのステータス管理 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/manageSubAccountAllowSourceSetting | View/getSubAccountDetail View/getSubAccountList |
SubAccount | SubAccount | コンソールまたは APIにアクセスできる Source IPアドレスまたは VPC Serverを確認・変更 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/resetSubAccountMFA | getSubAccountList getSubAccountDetail |
SubAccount | SubAccount | サブアカウントの2段階認証設定の初期化 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/addSubAccountToGroup | View/getGroupList View/getSubAccountDetail View/getSubAccountList View/getGroupDetail |
Group SubAccount |
Group SubAccount |
グループにサブアカウントを追加 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/removeSubAccountFromGroup | View/getGroupList View/getSubAccountDetail View/getSubAccountList View/getGroupDetail |
Group SubAccount |
Group SubAccount |
サブアカウントをグループから削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/addPolicyToGroup | View/getGroupList View/getPolicyList View/getPolicyDetail View/getGroupDetail |
Group | Group | グループにポリシー割り当て | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/removePolicyFromGroup | View/getGroupList View/getGroupDetail |
Group | Group | グループからポリシー削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/createGroup | View/getGroupList | - | Group | グループ作成 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/updateGroup | View/getGroupList View/getGroupDetail |
Group | Group | グループ情報変更 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/deleteGroup | View/getGroupList View/getGroupDetail |
Group | Group | グループ削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/createPolicy | View/getPolicyList | - | Policy | 新規ポリシー作成 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/updatePolicy | View/getPolicyList View/getPolicyDetail |
Policy | Policy | ユーザーが作成したポリシーを変更 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/deletePolicy | View/getPolicyList View/getPolicyDetail |
Policy | Policy | ユーザーが作成したポリシーを削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/createRole | View/getRoleList | - | Role | ロール作成 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/updateRole | View/getRoleDetail View/getRoleList |
Role | Role | ロール変更 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/deleteRole | View/getRoleDetail View/getRoleList |
Role | Role | ロール削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/addPolicyToRole | View/getPolicyList View/getRoleDetail View/getRoleList View/getPolicyDetail |
Role | Role | ロールにポリシー割り当て | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/removePolicyFromRole | View/getRoleDetail View/getRoleList |
Role | Role | ロールからポリシー削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/attachRoleToServer | View/getRoleDetail View/getServerInstanceList View/getRoleList View/getServerInstanceDetail |
Role | Role | Serverリソースにロール付与 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/detachRoleFromServer | View/getRoleDetail View/getRoleList |
Role | Role | Serverリソースのロール削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/suspendRole | View/getRoleDetail View/getRoleList |
Role | Role | サブアカウントを一時停止・解除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/attachRoleToAccount | View/getRoleDetail View/getRoleList |
Role | Role | Account Roleにターゲットアカウントを設定 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/detachRoleFromAccount | View/getRoleDetail View/getRoleList |
Role | Role | Account Roleのターゲットアカウントを削除 | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/switchRole | - | Role | Role | 割り当てられた Account Roleに権限を切り替え | - Principalプロパティ条件キー全体 - ncp: resourceTag |
| Change | Change/tagSubAccount | View/getSubAccountList View/getSubAccountDetail |
SubAccount | SubAccount | サブアカウントにタグを指定します。 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/untagSubAccount | View/getSubAccountList View/getSubAccountDetail |
SubAccount | SubAccount | サブアカウントからタグを削除します。 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/tagGroup | View/getGroupList View/getGroupDetail |
Group | Group | グループにタグを指定します。 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/untagGroup | View/getGroupList View/getGroupDetail |
Group | Group | グループからタグを削除します。 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/tagPolicy | View/getPolicyList View/getPolicyDetail |
Policy | Policy | ポリシーにタグを指定します | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/untagPolicy | View/getPolicyList View/getPolicyDetail |
Policy | Policy | ポリシーからタグを削除します | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/tagRole | View/getRoleList View/getRoleDetail |
Role | Role | ロールにタグを指定します。 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/untagRole | View/getRoleList getRoleDetail |
Role | Role | ロールからタグを削除します。 | - Principalプロパティ条件キー全体 - ncp: resourceTag - ncp: requestTag |
| Change | Change/manageLongtermUnusedDeactiveSetting | - | - | Dashboard | 長期未使用サブアカウントの無効化機能を管理 | Principalプロパティ条件キー全体 |
External Access
| 区分 | アクション名 | 関連アクション | リソースタイプ | リソースタイプ別のグループ | アクションの説明 | 使用可能な条件キー |
|---|---|---|---|---|---|---|
| Change | Change/createTrustAnchor | getCAList getCADetail |
\- | TrustAnchor | TrustAnchorを作成 | - Principalプロパティ条件キー全体 |
| Change | Change/createProfile | getRoleList getRoleDetail |
\- | Profile | Profileを作成 | - Principalプロパティ条件キー全体 |
| Change | Change/deleteTrustAnchor | getTrustAnchorList getTrustAnchorDetail |
TrustAnchor | TrustAnchor | TrustAnchorを削除 | - Principalプロパティ条件キー全体 |
| Change | Change/disableTrustAnchor | getTrustAnchorList getTrustAnchorDetail |
TrustAnchor | TrustAnchor | TrustAnchorを無効化 | - Principalプロパティ条件キー全体 |
| Change | Change/enableTrustAnchor | getTrustAnchorList getTrustAnchorDetail |
TrustAnchor | TrustAnchor | TrustAnchorを有効化 | - Principalプロパティ条件キー全体 |
| View | View/getTrustAnchorList | \- | \- | TrustAnchor | TrustAnchorリストを照会 | - Principalプロパティ条件キー全体 |
| View | View/getTrustAnchorDetail | getTrustAnchorList | TrustAnchor | TrustAnchor | TrustAnchorの詳細情報を照会 | - Principalプロパティ条件キー全体 |
| Change | Change/updateTrustAnchor | getTrustAnchorList getTrustAnchorDetail getCAList getCADetail |
TrustAnchor | TrustAnchor | TrustAnchorを変更 | - Principalプロパティ条件キー全体 |
| Change | Change/deleteProfile | getProfileList getProfileDetail |
Profile | Profile | Profileを削除 | - Principalプロパティ条件キー全体 |
| Change | Change/disableProfile | getProfileList getProfileDetail |
Profile | Profile | Profileを無効化 | - Principalプロパティ条件キー全体 |
| Change | Change/enableProfile | getProfileList getProfileDetail |
Profile | Profile | Profileを有効化 | - Principalプロパティ条件キー全体 |
| View | View/getProfileList | \- | \- | Profile | Profileリストを照会 | - Principalプロパティ条件キー全体 |
| View | View/getProfileDetail | getProfileList | Profile | Profile | Profileの詳細情報を照会 | - Principalプロパティ条件キー全体 |
| Change | Change/updateProfile | getProfileList getProfileDetail getRoleList getRoleDetail |
Profile | Profile | Profileを変更 | - Principalプロパティ条件キー全体 |
| View | View/getSubjectList | \- | \- | Subject | SubjectActivityリストを照会 | - Principalプロパティ条件キー全体 |
| View | View/getSubjectDetail | getSubjectList | Subject | Subject | SubjectActivityの詳細情報を照会 | - Principalプロパティ条件キー全体 |
| View | View/getCAList | \- | \- | TrustAnchor | CAリストの照会 | - Principalプロパティ条件キー全体 |
| View | View/getCADetail | getCAList | Private CA:CA | TrustAnchor | CA詳細情報の照会 | - Principalプロパティ条件キー全体 |
| View | View/getRoleList | \- | \- | Profile | ロールリストを照会 | - Principalプロパティ条件キー全体 |
| View | View/getRoleDetail | getRoleList | Sub Account:Role | Profile | ロールの詳細情報を確認 | - Principalプロパティ条件キー全体 |
| Change | Change/importCrl | getTrustAnchorDetail | Crl | Crl | Crlを Import | - Principalプロパティ条件キー全体 |
| Change | Change/deleteCrl | getTrustAnchorDetail getCrlDetail getCrlList |
Crl | Crl | Crlを削除 | - Principalプロパティ条件キー全体 |
| Change | Change/disbleCrl | getTrustAnchorDetail getCrlDetail |
Crl | Crl | Crlを無効化 | - Principalプロパティ条件キー全体 |
| Change | Change/enableCrl | getTrustAnchorDetail getCrlDetail |
Crl | Crl | Crlを有効化 | - Principalプロパティ条件キー全体 |
| View | View/getCrlDetail | getTrustAnchorDetail getCrlList |
Crl | Crl | Crlの詳細情報を照会 | - Principalプロパティ条件キー全体 |
| View | View/getCrlList | getTrustAnchorDetail | Crl | Crl | Crlリストを照会 | - Principalプロパティ条件キー全体 |
注意
特定のアクションに対する権限が付与されても、関連する必須アクションに対する権限が一緒に付与されていない場合、タスクは正常に行えません。このような問題を防ぐため、Sub Accountではアクション権限の付与時に、関連アクションに対する権限も自動的に一緒に付与する機能を提供します。ただし、自動的に一緒に付与された関連アクションの選択を解除すると、メインアカウントユーザーの意図とみなし、システムで強制的に含めないようにするため、権限設定の際はご注意ください。