Tag ベースの権限管理

Prev Next

Classic/VPC環境で利用できます。

NAVERクラウドプラットフォームでは Condition条件キーをベースにリソースに対するアクセスやアクション実行リクエストを制御できます。リソースへのアクセスを制御できる Condition条件キーである Resource Tagと、アクション実行リクエストを制御できる Condition条件キーである Request Tagを説明します。

区分 Resource Tag Request Tag
使用目的 特定のタグが指定されたリソースに対するユーザー操作を許可・拒否する時に使用 リソース作成またはタグ変更時、特定のタグキー-値が必ず指定されるようにタスクを許可/拒否する時に使用
使用できるアクション リソース指定が可能なアクション
  • View/get ~ Listのように特定のリソースを指定できないアクションは使用不可
  • 例外的にタグ情報が含まれたリソース作成アクション(Change/create ~ )は使用可能
  • タグ情報が含まれたリソース作成アクション(Change/create ~ )
  • タグ指定アクション(Change/tag ~ , Change/untag ~ )
権限チェック方法 IAMポリシーに指定されたタグキー-値ペアをリソースに連携されたキー-値ペアと比較してリソースに対するアクセスの許可有無を管理 IAMポリシーに指定されたタグキー-値ペアを権限チェックリクエストい含まれたタグキー-値ペアと比較してアクション実行の許可有無を管理

Resource Tagを使用したリソースに対するアクセス制御

以下のポリシーは ncp:resourceTag条件キーを使用して特定のタグ [key:value] を持つ Policyのみ削除するよう権限を定義します。
subaccount_resourcetag_ko

Request Tagを使用したアクション実行リクエストの制御

以下のポリシーは ncp:requestTag条件キーを使って特定のタグ [key:value] を持つ Sub Accountのみ作成できるように権限を定義します。
subaccount_requesttag_ko

このポリシーを付与されたサブアカウントは、 [project:unicorn] タグを持つ Sub Accountのみ作成可能です。もしタグを指定しないままサブアカウントを作成するか、 [project:unicorn] タグが含まれていないその他のタグを指定して Sub Accountを作成する場合、そのタスクは拒否されます。またタグ情報が含まれたリソース作成アクションの場合、ncp:requestTag条件キーを使うとしても同様に特定のタグ [key:value] を持つサブアカウントのみ作成できるように定義できます。

参考
  • アクション別に指定できる条件キーは、サービス別 Sub Account の権限管理で確認できます。
  • アクションに使用できない条件キーが指定されたポリシーが与えられたサブアカウントの場合、そのアクションの実行は拒否されます。
  • NAVERクラウドプラットフォームで定義する演算子情報は、Condition条件キーと演算子で確認できます。

多数のキーまたは値が含まれた場合の権限チェックロジック

CASE 権限チェックロジック
1つの条件キー内に複数の値を指定する場合 論理演算子の orを使って、ポリシーに指定されたタグキー-値の中で1つだけが一致すると権限を許可
1つの条件キーに否定演算子としてタグ値を複数指定する場合 論理演算子の Norを使って、ポリシーに指定されたタグキー-値がすべて一致しないと権限を許可
1つの Conditionに複数の条件キーが使われる場合 論理演算子の ANDを使って、すべての条件キーが一致する場合のみに権限を許可