Console Guide
Console 紹介
メインページ
アカウント管理
Identity および Access 管理
IAM 概要
IAMとは
基礎コンセプト
制限
クイックガイド
FAQ
IdP Management
ドメイン情報設定
統計解析
ログダウンロード
証明書管理
コンテンツ管理
Action Trail
Cloud Monitor
Security Dashbaord
Security Policy
Deploy MGMT

基礎コンセプト

最終更新日:2022-06-09 12:17:14

基礎コンセプト

CDNetworks IAM(identity and access management)の基礎コンセプトを紹介します。このドキュメントは、サービスの管理者として、当社のCDN製品を利用する際に役立ちます。CDNetworks IAMは、管理者にロールを管理するためのIAM機能を多く提供します - 各サービスリソースの権限とアクセス権限を与えます。

ユーザーアカウントのタイプ

CDNetworksコンソールは[メインアカウント]と[サブアカウント]2種類のユーザーアカウントを提供します。
アカウントタイプを確認したい場合は、[アカウント管理→基本情報]から基本情報を参照してください。メ### インアカウント([プライマリーアカウント]に同じ):
CDNetworksコンソールの製品のメインアカウント持つ場合、すべてのユーザーアカウントを管理する権限があります。アカウントが製品の機能を使用する権限を与えることもできます。契約すると、CDNetworksはメインアカウントを1つ提供します。メインアカウントは、契約した当社のCDN製品のサービスの管理者となります。
IAMでは、メインアカウントを使用する時に、エンドユーザーのビジネス管理の必要性に応じて、複数のサブアカウントを作成することができます

サブアカウント:

サブアカウントは、エンドユーザーのアカウントであり、メインアカウントがCDNetworks製品の機能の使用権限を与えたサービスにアクセスすることができます。

image.png

IDクレデンシャル

IDクレデンシャルは、CDNetworksコンソールにログインする際に、利用者の認証に使用されます。パスワードやAccessKeyを指します。

  • ログイン名とパスワード:
    ログイン名とパスワードを使ってCDNetworksコンソールにログインし、製品やサービスリソースを管理することができます。
  • AccessKey
    AccessKeyでAPIリクエストを送ることで(またはクラウドサービスのSDKを使用)、リソースを操作することができます。
    現在、AK/SKは、オブジェクトストレージなど一部の製品でのみ利用可能です。
    AccessKey認証を通じて、オブジェクトストレージAPIを使用することができます。
    IDクレデンシャルは秘密情報であり、パスワードは秘密に保管する必要があります。

ポリシー(権限とアクション)

ポリシー

  • 許可と拒否されたアクション(拒否)を集めものです。
  • 製品やサービスをリクエストすると、CDNetworksコンソールは以下のステップでリクエストを実行します。
  • 例。ユーザーアカウントAは、CDNドメイン#1の「トラフィックレポートの取得」をリクエストしたとします。リクエストを認証と承認した後、CDNetworksのプラットフォームは、「トラフィックレポートの取得」を承認するかどうかをIAMに尋ねます。
  • IAMは、CDNドメイン#1のアクション(トラフィックレポートの取得)の権限を確認します。
  • IAMは、ユーザーアカウントAが対照群管理のCDNドメイン#1にアクセス可能か否かをチェックします。
  • 上記2つの条件をクリアすれば、ユーザーアカウントAは、CDNドメイン#1の[トラフィックレポートの取得]のリクエスト結果が得られます。
  • 異なるポリシーの所有者によって2つのタイプがあります。
  • システムポリシー
  • システムポリシーは、CDNetworksによって作成と管理されるため、システムポリシーを変更することはできません。
    カスタムポリシーは、顧客がビジネスに応じて作成と管理をします。異なる作成方法による2つのポリシー:
  • 機能ポリシー
    CDN製品/クラウドセキュリティ製品で利用可能であり、CDN製品/クラウドセキュリティ製品の機能を許可/拒否することができます。
    ユーザーアカウントが対照群管理で管理されるCDNドメインにアクセスには、設定する必要があります。
    (例。ユーザーアカウントAは、コントロールグループの管理により、CDNドメインリストを設定するオリジン設定の変更権限を持ち、コンソールでトラフィックレポートを取得することができます)
  • 表現式ポリシー
    オブジェクトストレージ製品で利用可能ですが、CDN製品とクラウドセキュリティ製品では利用できません。IAMの構造やシンタックスに基づいて、特定のリソースに特定の操作権限を与えるために、表現式を使用することができます。
    詳細な情報を確認したい場合は、表現式ポリシーの記事をご参照ください。

対照群(連絡先とサービスのリソース)

対照群とは、CDNetworksを通じて実行する一連の加速ドメインのことです。対照群内の加速ドメインのトラフィック、請求、サービス構成のモニタリング権限を持つユーザーに割り当てることができます。
対照群は、CDN/クラウドセキュリティ製品(CA、DWA、MA、Flood shield、WAFなど)に対応しています。
CDNetworksと契約をし、同じ製品の契約でサービスを管理しようとしますと、例、CA製品を複数契している場合、CDNドメインを契約ごとに管理することができます。対照群は契約に応じてCDNドメインを分割することで、顧客のビジネスニーズに対応します。
対照群がユーザーアカウントに割り当てられると、そのユーザーはドメインの管理権限を取得します。加速ドメインは複数の対照群に属することができ、1人のユーザーは複数の対照群に割り当てることができます。
対照群機能では、3種類の対照群があります。
- [プリ定義 - 顧客] 対照群
契約と最初のユーザーの作成時に、自動作成の対照群は「プリ定義 - 顧客」の対照群です。それには顧客アカウントに関連するすべてのドメインが含まれています。この対照群の名前は変更できません。
- [プリ定義 - 製品] 対照群
また、自動的に生成される対照群には、[プリ定義 - 製品]対照群があり、新規連絡先に関連するすべてのドメインが含まれています。このようなグループは、契約下の合計トラフィックを確認できるところに価値があります。それを請求書と照合し、トラフィックの変化や契約先のアップグレードの計画を立てることができます。
グローバルの[プリ定義 - 顧客]対照群と異なり、この対照群の名前はメインアカウントごとにカスタマイズすることができます。
- ユーザーカスタマイズの対照群
他のすべての対照群は、メインアカウントによって作成およびカスタマイズされます。また、アカウントに関連付けられたあらゆる契約のドメインの組み合わせを含め、アカウントに関連付けられたあらゆるユーザーがアクセス可能となります。