Console Guide
Console 紹介
メインページ
アカウント管理
Identity および Access 管理
IAM 概要
クイックガイド
IAMワークフローの紹介
カスタムポリシーの作成
ユーザーアカウント管理
ユーザーアカウントへの権限付与
Managing Control Group
ポリシー管理
FAQ
IdP Management
ドメイン情報設定
統計解析
ログダウンロード
証明書管理
コンテンツ管理
Action Trail
Cloud Monitor
Security Dashbaord
Security Policy
Deploy MGMT

IAMワークフローの紹介

最終更新日:2022-06-09 12:17:15

IAMワークフローの紹介

CDNetworks IAM(Identity and Access Management)では、本アカウントを利用する際に、CDNetworksの製品/サービスおよびサービスリソースへのアクセスを管理することができます。
ここでは、IAMでサブアカウントの作成やサービスリソースへのアクセスを許可/拒否する権限を与える前に、IAMワークフローの概要について説明します。
全体的なワークフロー。

  • メインアカウントは、デフォルトの権限とアクションからなるシステムポリシーを取得し、CDNetworksと契約中のCDN製品の機能のオペレーションを行います。
  • メインアカウントは、CDNetworksコンソールのユーザー管理で新規ユーザーを作成することができます。
    (メインアカウントがサブアカウントを作成するだけだと、機能や製品へのアクセス権はありません。
    サブアカウントにシステムポリシーまたはカスタムポリシーを付与するかどうかは、メインアカウントが決めます。
  • .ポリシーについて知らない場合、[基礎コンセプト]をご覧ください。メインアカウントは、サブアカウントにシステムポリシーを付与して、エンドユーザーにロールを与えることができます。
  • メインアカウントは必要に応じて、作成したカスタムポリシーとアクションに組み合わせることができます。
  • メインアカウントは、カスタムポリシーをサブアカウントに付与し、エンドユーザーにロールを与えることができます。
  • メインアカウントは、サブアカウントに対照群を割り当て、エンドユーザーの加速ドメインを管理することができます。(これは管理CDNとセキュリティ製品で利用可能)

image.png

上の図で、各ロールを与えることができます。また、エンドユーザーAに許可する機能と許可しない機能は、他のエンドユーザーも同様になります。
効率的なIAMのやり方は、メインアカウントには最初から製品の全システムポリシーが付与されています。サブアカウントは最初からポリシーを持っていません。サブアカウントがカスタムポリシーを持つようにするには、メインアカウントがポリシーを付与する必要があります。CDNetworksコンソールでは、ユーザー管理、ポリシー管理、権限管理、対照群管理など柔軟なIAM機能を提供しています。権限の追加:ポリシーを追加/更新して、機能を使用する

No 機能 エントランス 説明 備考
1 ユーザー管理 IAM → ID → ユーザー ユーザーの作成:エンドユーザーにサブアカウントを作成する ユーザーの削除:サブアカウントの削除 基本情報の編集:表示名とEメールの変更 ログイン設定の編集: パスワードリセット、コンソールログインのオン/オフ 権限の追加:ポリシーを追加/更新して、機能を使用する
2 権限管理 IAM →権限 → 付与 サブアカウントに権限の付与/取り消して、サブアカウントにポリシーを合わせる
3 対照群管理 IAM→権限 → 対照群管理 ユーザーカスタマイズ対照群の作成/管理 CDNドメイン(加速ドメイン)の使用をサブアカウントに割り当てる メインアカウントはCDN/クラウドセキュリティ製品を使用するべきである。クラウドストレージ、UC(User Management Component)では使用不可。
4 ポリシー管理 IAM →権限 →ポリシー ポリシーを作成/削除し、アクションに許可/拒否を設定CDN/クラウドセキュリティ製品のアクションを許可または拒否に設定。メインアカウントは、CDN/クラウドセキュリティ製品に[機能ポリシー]を使用。メインアカウントでは、オブジェクトストレージ/UCに[表現式ポリシー]を使用。

以上のように、CDNetworks IAMは、ユーザーアカウントの管理効率を高めるための、多くの機能を備えています。
ヒント:

  • アクションは、製品の機能要素を意味します。例。コンソールでトラフィックチャートを表示やドメイン設定の編集などがあります。
  • CDNとセキュリティ製品において、メインアカウントは[機能ポリシー]を与え、[対照群]を通じてユーザーに加速ドメインを割り当てる必要があります。
  • その他の製品(オブジェクトストレージ、UC)に関して、[表現式ポリシー]には機能とリソースの両方が含まれるため、メインアカウントはユーザーに[表現式ポリシー]を付与する必要があります。