ポリシー管理を始める
概要
CDNetworksコンソール IAMが提供するポリシーは、ルールセットの権限とアクションであり、特定のアクションや許可または拒否のアクションを記述しています。
これらのアクション権がポリシーに組み合わされることを意味します。エンドユーザーが使用するサブアカウントにポリシーを与えることで、エンドユーザーのロールを委託することができます。また、複数のポリシーを添付/取り消すことで、アクションにCDNetworks製品のオペレーション権限を与えることができます。
ポリシーは、権限(許可、拒否)とアクションで構成される集合体です。
ユーザーとアクションの間(CDNetworks製品の機能オペレーション)で権限を割り当てるには、ポリシーを作成して指定します:
- アクション:
許可するCDNetworks製品/サービスのアクション。例。ユーザーのCA(Content Acceleration)製品のPOST_CONFIGURATIONアクション使用を許可することができます。明確に許可していないアクションは、すべて拒否となります。
- 権限
アクセスを許可また拒否します。デフォルトでは、アクセスは拒否であるため、通常作成するポリシーは許可となります。
CDNetworks Consoleのポリシー管理メニューを提供します。
エントランス
IAM → 権限 → ポリシー。
はじめに
ポリシータイプ
2つのポリシーは異なるポリシー所有者によって、分けられます:
- システムポリシー:CDNetworksによって作成/管理されるもので、顧客によって変更することはできません。
- カスタムポリシー:顧客がビジネスに応じて作成と管理をします。
作成方法
作成方法の違いにより、次のような2種類のポリシーがあります。
- 機能ポリシー
CDNetworksコンソールには、CDN製品やクラウドセキュリティ製品で使用するトラフィックレポートやドメイン設定項目などの機能があります。
- 表現式ポリシー
- CDNetworksコンソールは、表現式ポリシーを提供しています。IAM構造に基づいて、特定のリソースに特定の権限をシンタックスレベルで割り当てます。
- それは、UCとオブジェクトストレージ製品のみ対応しており、CDNとセキュリティ製品は表現式ポリシーに対応していません。
ポリシータイプ
次の表から、どのポリシータイプが製品リストに適用されるかを参考することができます。
メインカテゴリ |
カテゴリ |
製品リスト |
ポリシータイプ |
Product & Service |
CDN product |
Content Acceleration Dynamic Web Acceleration Download Acceleration Media Acceleration Media Acceleration - Live Broadcast |
Function policy |
|
Security Product |
Flood Shield Application Shield Bot Shield Web Application Firewall FloodShield (for Media Acceleration) |
Function policy |
|
Storage |
Object Storage |
Expression policy |
|
Application Service |
Content MGMT Log Download Certificate MGMT HTTPDNS Security Report Security Overview |
Function policy |
IAM |
UC |
IAM permission Control-group management Contract Management Access Key management |
Expression policy |
UCとは?
ucとは、アイデンティティ管理サービスであり、それにはIAM権限、対照群管理、連絡先管理、AccessKey、api keyに関連するポリシーを含みます。次のポリシーはその例です。
アクションとポリシーの命名規則
アクションの命名規則に関して、次の例を参考してください。
- [Get_XXX]とは、レポートや設定などを閲覧する機能です。
- (例:Get_Origin_Modifition、その機能はOrigin Modification機能の設定を見ることです)
- [Post_XXX]は、(通常は設定)変更/編集機能を意味します。
- (例:Post_Disable_Domainでは、ドメインを無効することです。
- Post_Create_Domain、機能は新しいドメインを作成することです)
- XXXは、レポート名、設定アイテム、詳細ボタンを1ページに表示します。
ステムポリシーの命名規則
製品と非製品には2つの名称規則があります。
命名規則: ‘製品名’ _ ‘機能タイプ’ _ ‘機能名’ _ ‘機能のロール’ 製品名:ポリシーが機能する製品を意味します。
- が機能する製品を意味します。
- 共通機能タイプ
- VAS:その機能がVASであり、デフォルトではメインアカウントに対応しない
- ことを意味します。 カスタム:その機能がカスタマイズされた機能であり、デ
- フォルトではメインアカウントに対応しないことを意味します。
- 機能名:その機能を意味します
- 機能ロール
- レポート: 機能レポートを表示する コンフィ
- グ: 設定アイテムを提供する データ: 機能のデ
- ータを表示する
例。ポリシー名「MA-Live_VAS_DedicatedCaching_Report」は、MA-Live製品のVAS機能の専用キャッシュのレポートを表示することです。
- 製品に関連しないポリシーに関しては、ログのダウンロードや内容管理などの通常サービスに適用されます。
例。CA_BasicPolicy_writeは、すべての基本機能の閲覧権限をユーザーアカウントに与えることを意味します。基本機能とは、通常のトラフィック、ステータスコード、リージョン情報レポート、さらにはBack-to-origin設定などの通常設定を意味します。
デフォルトポリシー
- メインアカウントには、CDNetworks製品の使用を契約するシステムポリシーがあります。
- メインアカウントは、[権限の追加]によってポリシーを添付し、権限を与えることで製品の機能を使用することができます。
- メインアカウントは、[権限の取り消し]を介して、ポリシーを解除することで、サブアカウントの権限を解除することができます。
機能ポリシーの説明
ポリシーに組み合わされたアクションを表示します。
ポリシーのアクション一覧を確認したい場合、選択したポリシー名をクリックすると、アクション一覧の情報が表示されます。
- アクションのリストを確認
次の例で、Media Accelerationライブ製品のアクションリストの権限は [許可]です。
- 各製品からの複数のアクションを1つのポリシーに組合せます
各製品からの複数のアクションを1つのポリシーに組合せる場合、CDNetworksコンソールIAMで1つのポリシーを作成できます。
ワンクリックで各製品のアクションを1つのポリシーに組合せます
例。CA製品のアクションの権限を[許可]にすることができます。
- また、MA製品のアクションの権限を[MA製品変更後に許可]にすることができます。
また、[保存]ボタンをクリックすると、各製品から複数のアクションが1つのポリシーとして完成します。