Overview

IAM（Identity and Access Management）は、CDNetworksが提供するアイデンティティ・アクセス管理サービスです。IAM設定により、親アカウント/メインアカウントは、サブアカウントごとに異なる権限ポリシーを割り当てることで、操作権限とアクセス制御を管理できます。
（例）特定バケットへの読み取り権限のみをサブアカウントに制限

注: リソース漏洩を防ぐため、最小権限の原則に基づく割り当てを強く推奨します。AK/SKの定期的な変更、未使用アカウントとその権限の即時削除も推奨します。

親アカウント/メインアカウント

• 配下の全リソースに対する完全な管理権限を持つリソース所有者
• リソース使用量の課金計算基本単位。配下の全リソースに対する支払い責任を有する

サブアカウント

• 親アカウントによって作成され、作成時に独立したキーと権限を割り当てられる。デフォルトではあらゆる権限を持たない（自身が作成したリソースへの権限も含む）。すべての操作には親アカウントの権限付与が必要
• 親アカウントに従属し、リソースを所有できない。サブアカウント単体での課金計算対象外

注意事項:

• 各リソースには唯一無二の所有者（リソースオーナー）が存在する。所有者は必ず親アカウントであり、リソースへの完全制御権を持つ
• リソースの所有者は作成者とは限りません。例えば：サブアカウントにリソース作成権限が付与された場合、サブアカウントが作成したリソースの所有者は親アカウントになります。このケースでは、サブアカウントは作成者ではあるが所有者ではなく、所有者は（削除・権限割当てなど）絶対的な制御権を有します。一方で作成者の操作権限は、親アカウントがサブアカウント向けに設定した権限ポリシーに制約されるがままです。