tencent cloud

Tencent Cloud Organization

製品概要
プロダクト概要
関連概念
購入ガイド
操作ガイド
コンソール概要
グループ組織設定
部門管理
メンバーアカウント管理
メンバー財務管理
メンバーのCAM
リソース管理 
メンバー監査
アイデンティティセンター管理
よくあるご質問
概念によくある問題
基本的によくある問題
操作によくある問題
用語一覧
ドキュメントTencent Cloud Organization操作ガイドメンバーのCAMサービス管理ポリシーサービス管理ポリシー概要

サービス管理ポリシー概要

PDF
フォーカスモード
フォントサイズ
最終更新日: 2025-12-16 16:58:15
グループアカウントサービス管理ポリシーは、階層構造(部門またはメンバー)に基づいたアクセス制御ポリシーであり、グループアカウントの各階層内でのリソースアクセスの権限境界を統一管理し、企業全体のアクセス制御原則または局所的な専用原則を確立できます。サービス管理ポリシーは権限境界を定義するだけで、実際に権限を付与するわけではありません。お客様は、あるメンバー内でアクセス制御(CAM)を使用して権限を設定した後、対応するIDがリソースへのアクセス権限を持つようになります。

適用シーン

企業がグループアカウントを作成し、各部門にメンバーを作成した後、各メンバーの行動を管理しないと、運用保守ルールを損ない、セキュリティリスクやコストの無駄をもたらします。グループアカウントはサービス管理ポリシー機能を提供し、企業は管理アカウントを通じて管理ルールを集中して策定し、これらの管理ルールをグループアカウントの各階層構造(部門、メンバー)に適用し、各メンバー内のリソースへのアクセスルールを管理し、セキュリティとコンプライアンス、およびコストのコントロールを確保します。例えば、メンバーによるドメイン名の申請を禁止したり、メンバーによるログ記録の削除を禁止したりすることです。

サービス管理ポリシータイプ

システムサービス管理ポリシー
システム組み込みのサービス管理ポリシーです。お客様は参照することのみ可能で、システムサービス管理ポリシーの作成、変更、削除はできません。サービス管理ポリシー機能を有効化した後、グループアカウント内のすべての部門とメンバーにはデフォルトでシステムポリシー FullQcloudAccess がバインドされます。このポリシーは、Tencent Cloud上のすべてのリソースに対するあらゆる操作を許可します。
カスタム管理ポリシー
カスタムサービス管理ポリシー。お客様はカスタムサービス管理ポリシーの作成、変更、削除が可能です。カスタムサービス管理ポリシーは、作成後に部門またはメンバーにバインドすることで有効になります。不要な場合は、いつでもバインドを解除することもできます。

サービス管理ポリシーの動作原理

1、管理アカウントを使用してサービス管理ポリシー機能を有効化します。詳細については、管理ポリシー機能を有効化するを参照してください。
2、サービス管理ポリシー機能を有効化した後、システムポリシー FullQcloudAccess がデフォルトでグループアカウント内のすべての部門およびメンバーにバインドされます。このポリシーはすべての操作を許可し、管理ポリシーの不適切な設定による予期しないアクセス失敗を防止します。
3、管理アカウントを使用してサービス管理ポリシーを作成します。詳細については、カスタム管理ポリシーを作成するを参照してください。
4、管理アカウントを使用してサービス管理ポリシーをグループアカウントのエンティティ(部門、メンバー)にバインドします。詳細については、カスタム管理ポリシーをバインドするを参照してください。
サービス管理ポリシーはグループ内の部門またはメンバーへのバインドが可能です。サービス管理ポリシーは下位への継承特性を備えており、例えば:親部門に管理ポリシーAを設定し、子部門に管理ポリシーBを設定した場合、管理ポリシーAと管理ポリシーBの両方が子部門およびその配下のメンバーで有効になります。
注意:
まず限定的な範囲でのテストを行い、ポリシーの有効性が期待通りであることを確認してから、すべての目標ノード(部門、メンバー)にバインドしてください。
6、メンバー内のCAMユーザーまたはCAMロールがTencent Cloudサービスにアクセスする場合、Tencent Cloudは最初にサービス管理ポリシーのチェックを行い、次にアカウント内のCAM権限チェックを行います。具体的には以下の通りです:
(1)サービス管理ポリシーの認証は、アクセス対象リソースが存在するアカウントから開始され、グループアカウントの階層に沿ってレベルごとに上位へと進みます。
(2)任意の階層でサービス管理ポリシーの認証を行う際に、拒否(Deny)ポリシーにヒットした場合、結果を拒否(Explicit Deny)と直接判定し、サービス管理ポリシー認証プロセス全体を終了します。これにより、アカウント内のCAM権限ポリシーに基づく認証は実行されず、リクエストは直接に拒否されます。
(3)任意の階層でサービス管理ポリシーの認証を行う際に、拒否(Deny)ポリシーにも許可(Allow)ポリシーにもヒットしなかった場合、同様に結果を拒否(Explicit Deny)と直接に判定し、次の階層の認証には進まず、サービス管理ポリシー認証プロセス全体を終了します。これにより、アカウント内のCAM権限ポリシーに基づく認証は実行されず、リクエストは直接に拒否されます。
(4)ある階層の認証において、拒否(Deny)ポリシーにヒットせず、許可(Allow)ポリシーにヒットした場合、その階層の認証は通過し、Root部門に達するまで親ノードでの管理ポリシー認証を継続します。Root部門の認証結果も通過した場合、管理ポリシー認証全体が通過し、次にアカウント内のCAM権限ポリシーに基づく認証に進みます。
(5)サービス管理ポリシーはサービス関連ロールには適用されません。
(6)Tencent Cloudは、アクセスされたアカウント自身およびそのアカウントが存在する各階層にバインドされているサービス管理ポリシーを評価します。それにより、より上位の階層にバインドされたサービス管理ポリシーが配下のすべてのアカウントで有効になることを保証します。
前の記事へ: メンバーの自己負担方式次の記事へ: サービス管理ポリシーを有効化する

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック