Classic/VPC環境で利用できます。
NAVERクラウドプラットフォームでは Condition条件キーをベースにリソースに対するアクセスやアクション実行リクエストを制御できます。リソースへのアクセスを制御できる Condition条件キーである Resource Tagと、アクション実行リクエストを制御できる Condition条件キーである Request Tagを説明します。
| 区分 | Resource Tag | Request Tag |
|---|---|---|
| 使用目的 | 特定のタグが指定されたリソースに対するユーザー操作を許可・拒否する時に使用 | リソース作成またはタグ変更時、特定のタグキー-値が必ず指定されるようにタスクを許可/拒否する時に使用 |
| 使用できるアクション | リソース指定が可能なアクション
|
|
| 権限チェック方法 | IAMポリシーに指定されたタグキー-値ペアをリソースに連携されたキー-値ペアと比較してリソースに対するアクセスの許可有無を管理 | IAMポリシーに指定されたタグキー-値ペアを権限チェックリクエストい含まれたタグキー-値ペアと比較してアクション実行の許可有無を管理 |
Resource Tagを使用したリソースに対するアクセス制御
以下のポリシーは ncp:resourceTag条件キーを使用して特定のタグ [key:value] を持つ Policyのみ削除するよう権限を定義します。
Request Tagを使用したアクション実行リクエストの制御
以下のポリシーは ncp:requestTag条件キーを使って特定のタグ [key:value] を持つ Sub Accountのみ作成できるように権限を定義します。
このポリシーを付与されたサブアカウントは、 [project:unicorn] タグを持つ Sub Accountのみ作成可能です。もしタグを指定しないままサブアカウントを作成するか、 [project:unicorn] タグが含まれていないその他のタグを指定して Sub Accountを作成する場合、そのタスクは拒否されます。またタグ情報が含まれたリソース作成アクションの場合、ncp:requestTag条件キーを使うとしても同様に特定のタグ [key:value] を持つサブアカウントのみ作成できるように定義できます。
参考
- アクション別に指定できる条件キーは、サービス別 Sub Account の権限管理で確認できます。
- アクションに使用できない条件キーが指定されたポリシーが与えられたサブアカウントの場合、そのアクションの実行は拒否されます。
- NAVERクラウドプラットフォームで定義する演算子情報は、Condition条件キーと演算子で確認できます。
多数のキーまたは値が含まれた場合の権限チェックロジック
| CASE | 権限チェックロジック |
|---|---|
| 1つの条件キー内に複数の値を指定する場合 | 論理演算子の orを使って、ポリシーに指定されたタグキー-値の中で1つだけが一致すると権限を許可 |
| 1つの条件キーに否定演算子としてタグ値を複数指定する場合 | 論理演算子の Norを使って、ポリシーに指定されたタグキー-値がすべて一致しないと権限を許可 |
| 1つの Conditionに複数の条件キーが使われる場合 | 論理演算子の ANDを使って、すべての条件キーが一致する場合のみに権限を許可 |