Console Guide
Console 紹介
メインページ
アカウント管理
Identity および Access 管理
IAM 概要
クイックガイド
IAMワークフローの紹介
カスタムポリシーの作成
ユーザーアカウント管理
ユーザーアカウントへの権限付与
Managing Control Group
ポリシー管理
ポリシー管理を始める
カスタムポリシーの作成
表現式ポリシー
表現式ポリシーの構成
FAQ
IdP Management
ドメイン情報設定
統計解析
ログダウンロード
証明書管理
コンテンツ管理
Action Trail
Cloud Monitor
Security Dashbaord
Security Policy
Deploy MGMT

ポリシー管理を始める

最終更新日:2022-06-03 14:48:05

ポリシー管理を始める

概要

CDNetworksコンソール IAMが提供するポリシーは、ルールセットの権限とアクションであり、特定のアクションや許可または拒否のアクションを記述しています。
これらのアクション権がポリシーに組み合わされることを意味します。エンドユーザーが使用するサブアカウントにポリシーを与えることで、エンドユーザーのロールを委託することができます。また、複数のポリシーを添付/取り消すことで、アクションにCDNetworks製品のオペレーション権限を与えることができます。
ポリシーは、権限(許可、拒否)とアクションで構成される集合体です。
ユーザーとアクションの間(CDNetworks製品の機能オペレーション)で権限を割り当てるには、ポリシーを作成して指定します:

  • アクション:
    許可するCDNetworks製品/サービスのアクション。例。ユーザーのCA(Content Acceleration)製品のPOST_CONFIGURATIONアクション使用を許可することができます。明確に許可していないアクションは、すべて拒否となります。
  • 権限
    アクセスを許可また拒否します。デフォルトでは、アクセスは拒否であるため、通常作成するポリシーは許可となります。
    CDNetworks Consoleのポリシー管理メニューを提供します。

エントランス

IAM → 権限 → ポリシー。

はじめに

image.png

ポリシータイプ

2つのポリシーは異なるポリシー所有者によって、分けられます:

  • システムポリシー:CDNetworksによって作成/管理されるもので、顧客によって変更することはできません。
  • カスタムポリシー:顧客がビジネスに応じて作成と管理をします。

image.png

作成方法

作成方法の違いにより、次のような2種類のポリシーがあります。

  • 機能ポリシー
    CDNetworksコンソールには、CDN製品やクラウドセキュリティ製品で使用するトラフィックレポートやドメイン設定項目などの機能があります。
  • 表現式ポリシー
    • CDNetworksコンソールは、表現式ポリシーを提供しています。IAM構造に基づいて、特定のリソースに特定の権限をシンタックスレベルで割り当てます。
    • それは、UCとオブジェクトストレージ製品のみ対応しており、CDNとセキュリティ製品は表現式ポリシーに対応していません。

image.png

ポリシータイプ

次の表から、どのポリシータイプが製品リストに適用されるかを参考することができます。

メインカテゴリ カテゴリ 製品リスト ポリシータイプ
Product & Service CDN product Content Acceleration
Dynamic Web Acceleration
Download Acceleration
Media Acceleration
Media Acceleration - Live Broadcast
Function policy
Security Product Flood Shield
Application Shield
Bot Shield
Web Application Firewall
FloodShield (for Media Acceleration)
Function policy
Storage Object Storage Expression policy
Application Service Content MGMT
Log Download Certificate MGMT
HTTPDNS
Security Report
Security Overview
Function policy
IAM UC IAM permission
Control-group management
Contract Management
Access Key management
Expression policy

UCとは?

ucとは、アイデンティティ管理サービスであり、それにはIAM権限、対照群管理、連絡先管理、AccessKey、api keyに関連するポリシーを含みます。次のポリシーはその例です。

image.png

アクションとポリシーの命名規則

  • アクションの命名規則

image.png

アクションの命名規則に関して、次の例を参考してください。

  • [Get_XXX]とは、レポートや設定などを閲覧する機能です。
    • (例:Get_Origin_Modifition、その機能はOrigin Modification機能の設定を見ることです)
  • [Post_XXX]は、(通常は設定)変更/編集機能を意味します。
    • (例:Post_Disable_Domainでは、ドメインを無効することです。
    • Post_Create_Domain、機能は新しいドメインを作成することです)
  • XXXは、レポート名、設定アイテム、詳細ボタンを1ページに表示します。

ステムポリシーの命名規則

製品と非製品には2つの名称規則があります。

image.png

命名規則: ‘製品名’ _ ‘機能タイプ’ _ ‘機能名’ _ ‘機能のロール’ 製品名:ポリシーが機能する製品を意味します。

  • が機能する製品を意味します。
  • 共通機能タイプ
    • VAS:その機能がVASであり、デフォルトではメインアカウントに対応しない
    • ことを意味します。 カスタム:その機能がカスタマイズされた機能であり、デ
  • フォルトではメインアカウントに対応しないことを意味します。
  • 機能名:その機能を意味します
  • 機能ロール
    • レポート: 機能レポートを表示する コンフィ
    • グ: 設定アイテムを提供する データ: 機能のデ
    • ータを表示する
      例。ポリシー名「MA-Live_VAS_DedicatedCaching_Report」は、MA-Live製品のVAS機能の専用キャッシュのレポートを表示することです。
  • 製品に関連しないポリシーに関しては、ログのダウンロードや内容管理などの通常サービスに適用されます。
    例。CA_BasicPolicy_writeは、すべての基本機能の閲覧権限をユーザーアカウントに与えることを意味します。基本機能とは、通常のトラフィック、ステータスコード、リージョン情報レポート、さらにはBack-to-origin設定などの通常設定を意味します。

image.png

デフォルトポリシー

  • メインアカウントには、CDNetworks製品の使用を契約するシステムポリシーがあります。
  • メインアカウントは、[権限の追加]によってポリシーを添付し、権限を与えることで製品の機能を使用することができます。
  • メインアカウントは、[権限の取り消し]を介して、ポリシーを解除することで、サブアカウントの権限を解除することができます。

image.png

機能ポリシーの説明

ポリシーに組み合わされたアクションを表示します。

ポリシーのアクション一覧を確認したい場合、選択したポリシー名をクリックすると、アクション一覧の情報が表示されます。

  • ポリシー名をクリック

image.png

  • アクションのリストを確認
    次の例で、Media Accelerationライブ製品のアクションリストの権限は [許可]です。

image.png

  • 各製品からの複数のアクションを1つのポリシーに組合せます
    各製品からの複数のアクションを1つのポリシーに組合せる場合、CDNetworksコンソールIAMで1つのポリシーを作成できます。
    ワンクリックで各製品のアクションを1つのポリシーに組合せます
    例。CA製品のアクションの権限を[許可]にすることができます。

image.png

  • また、MA製品のアクションの権限を[MA製品変更後に許可]にすることができます。

image.png

また、[保存]ボタンをクリックすると、各製品から複数のアクションが1つのポリシーとして完成します。