IAMワークフローの紹介
最終更新日:2022-06-09 12:17:15
IAMワークフローの紹介
CDNetworks IAM(Identity and Access Management)では、本アカウントを利用する際に、CDNetworksの製品/サービスおよびサービスリソースへのアクセスを管理することができます。
ここでは、IAMでサブアカウントの作成やサービスリソースへのアクセスを許可/拒否する権限を与える前に、IAMワークフローの概要について説明します。
全体的なワークフロー。
- メインアカウントは、デフォルトの権限とアクションからなるシステムポリシーを取得し、CDNetworksと契約中のCDN製品の機能のオペレーションを行います。
- メインアカウントは、CDNetworksコンソールのユーザー管理で新規ユーザーを作成することができます。
(メインアカウントがサブアカウントを作成するだけだと、機能や製品へのアクセス権はありません。
サブアカウントにシステムポリシーまたはカスタムポリシーを付与するかどうかは、メインアカウントが決めます。 - .ポリシーについて知らない場合、[基礎コンセプト]をご覧ください。メインアカウントは、サブアカウントにシステムポリシーを付与して、エンドユーザーにロールを与えることができます。
- メインアカウントは必要に応じて、作成したカスタムポリシーとアクションに組み合わせることができます。
- メインアカウントは、カスタムポリシーをサブアカウントに付与し、エンドユーザーにロールを与えることができます。
- メインアカウントは、サブアカウントに対照群を割り当て、エンドユーザーの加速ドメインを管理することができます。(これは管理CDNとセキュリティ製品で利用可能)
上の図で、各ロールを与えることができます。また、エンドユーザーAに許可する機能と許可しない機能は、他のエンドユーザーも同様になります。
効率的なIAMのやり方は、メインアカウントには最初から製品の全システムポリシーが付与されています。サブアカウントは最初からポリシーを持っていません。サブアカウントがカスタムポリシーを持つようにするには、メインアカウントがポリシーを付与する必要があります。CDNetworksコンソールでは、ユーザー管理、ポリシー管理、権限管理、対照群管理など柔軟なIAM機能を提供しています。権限の追加:ポリシーを追加/更新して、機能を使用する
| No | 機能 | エントランス | 説明 | 備考 |
|---|---|---|---|---|
| 1 | ユーザー管理 | IAM → ID → ユーザー | ユーザーの作成:エンドユーザーにサブアカウントを作成する ユーザーの削除:サブアカウントの削除 基本情報の編集:表示名とEメールの変更 ログイン設定の編集: パスワードリセット、コンソールログインのオン/オフ 権限の追加:ポリシーを追加/更新して、機能を使用する | |
| 2 | 権限管理 | IAM →権限 → 付与 | サブアカウントに権限の付与/取り消して、サブアカウントにポリシーを合わせる | |
| 3 | 対照群管理 | IAM→権限 → 対照群管理 | ユーザーカスタマイズ対照群の作成/管理 CDNドメイン(加速ドメイン)の使用をサブアカウントに割り当てる | メインアカウントはCDN/クラウドセキュリティ製品を使用するべきである。クラウドストレージ、UC(User Management Component)では使用不可。 |
| 4 | ポリシー管理 | IAM →権限 →ポリシー | ポリシーを作成/削除し、アクションに許可/拒否を設定CDN/クラウドセキュリティ製品のアクションを許可または拒否に設定。メインアカウントは、CDN/クラウドセキュリティ製品に[機能ポリシー]を使用。メインアカウントでは、オブジェクトストレージ/UCに[表現式ポリシー]を使用。 |
以上のように、CDNetworks IAMは、ユーザーアカウントの管理効率を高めるための、多くの機能を備えています。
ヒント:
- アクションは、製品の機能要素を意味します。例。コンソールでトラフィックチャートを表示やドメイン設定の編集などがあります。
- CDNとセキュリティ製品において、メインアカウントは[機能ポリシー]を与え、[対照群]を通じてユーザーに加速ドメインを割り当てる必要があります。
- その他の製品(オブジェクトストレージ、UC)に関して、[表現式ポリシー]には機能とリソースの両方が含まれるため、メインアカウントはユーザーに[表現式ポリシー]を付与する必要があります。
このドキュメントの内容は役に立ちましたか?
はい
いいえ