IAMワークフローの紹介

最終更新日:2022-06-09 12:17:15

IAMワークフローの紹介

CDNetworks IAM(Identity and Access Management)では、本アカウントを利用する際に、CDNetworksの製品/サービスおよびサービスリソースへのアクセスを管理することができます。
ここでは、IAMでサブアカウントの作成やサービスリソースへのアクセスを許可/拒否する権限を与える前に、IAMワークフローの概要について説明します。
全体的なワークフロー。

  • メインアカウントは、デフォルトの権限とアクションからなるシステムポリシーを取得し、CDNetworksと契約中のCDN製品の機能のオペレーションを行います。
  • メインアカウントは、CDNetworksコンソールのユーザー管理で新規ユーザーを作成することができます。
    (メインアカウントがサブアカウントを作成するだけだと、機能や製品へのアクセス権はありません。
    サブアカウントにシステムポリシーまたはカスタムポリシーを付与するかどうかは、メインアカウントが決めます。
  • .ポリシーについて知らない場合、[基礎コンセプト]をご覧ください。メインアカウントは、サブアカウントにシステムポリシーを付与して、エンドユーザーにロールを与えることができます。
  • メインアカウントは必要に応じて、作成したカスタムポリシーとアクションに組み合わせることができます。
  • メインアカウントは、カスタムポリシーをサブアカウントに付与し、エンドユーザーにロールを与えることができます。
  • メインアカウントは、サブアカウントに対照群を割り当て、エンドユーザーの加速ドメインを管理することができます。(これは管理CDNとセキュリティ製品で利用可能)

CDNetworks海外新节点上线

上の図で、各ロールを与えることができます。また、エンドユーザーAに許可する機能と許可しない機能は、他のエンドユーザーも同様になります。
効率的なIAMのやり方は、メインアカウントには最初から製品の全システムポリシーが付与されています。サブアカウントは最初からポリシーを持っていません。サブアカウントがカスタムポリシーを持つようにするには、メインアカウントがポリシーを付与する必要があります。CDNetworksコンソールでは、ユーザー管理、ポリシー管理、権限管理、対照群管理など柔軟なIAM機能を提供しています。権限の追加:ポリシーを追加/更新して、機能を使用する

No 機能 エントランス 説明 備考
1 ユーザー管理 IAM → ID → ユーザー ユーザーの作成:エンドユーザーにサブアカウントを作成する ユーザーの削除:サブアカウントの削除 基本情報の編集:表示名とEメールの変更 ログイン設定の編集: パスワードリセット、コンソールログインのオン/オフ 権限の追加:ポリシーを追加/更新して、機能を使用する
2 権限管理 IAM →権限 → 付与 サブアカウントに権限の付与/取り消して、サブアカウントにポリシーを合わせる
3 対照群管理 IAM→権限 → 対照群管理 ユーザーカスタマイズ対照群の作成/管理 CDNドメイン(加速ドメイン)の使用をサブアカウントに割り当てる メインアカウントはCDN/クラウドセキュリティ製品を使用するべきである。クラウドストレージ、UC(User Management Component)では使用不可。
4 ポリシー管理 IAM →権限 →ポリシー ポリシーを作成/削除し、アクションに許可/拒否を設定CDN/クラウドセキュリティ製品のアクションを許可または拒否に設定。メインアカウントは、CDN/クラウドセキュリティ製品に[機能ポリシー]を使用。メインアカウントでは、オブジェクトストレージ/UCに[表現式ポリシー]を使用。

以上のように、CDNetworks IAMは、ユーザーアカウントの管理効率を高めるための、多くの機能を備えています。
ヒント:

  • アクションは、製品の機能要素を意味します。例。コンソールでトラフィックチャートを表示やドメイン設定の編集などがあります。
  • CDNとセキュリティ製品において、メインアカウントは[機能ポリシー]を与え、[対照群]を通じてユーザーに加速ドメインを割り当てる必要があります。
  • その他の製品(オブジェクトストレージ、UC)に関して、[表現式ポリシー]には機能とリソースの両方が含まれるため、メインアカウントはユーザーに[表現式ポリシー]を付与する必要があります。