CAMの基本概念
ルートアカウントはサブアカウントにポリシーをバインドすることで権限承認を行います。ポリシーの設定は、**[API、リソース、ユーザー/ユーザーグループ、許可/拒否、条件]**の次元まで精密に行うことができます。
ユーザーのタイプ
ルートアカウント:Tencent Cloudのすべてのリソースを所有し、どのリソースにも任意にアクセスできます。
サブアカウント:サブユーザー、WeComサブユーザー、コラボレーター、メッセージ受信者が含まれます。
リソースと権限
リソース:リソースとは、クラウドサービスにおいて操作の対象となるものであり、例えばCVMインスタンス、COSバケット、VPCインスタンスなどがあります。
権限:権限とは、ある何人かのユーザーに対し、あるいくつかの操作の実行を許可または拒否することを指します。デフォルトでは、ルートアカウントはその名前の下にあるすべてのリソースへのアクセス権限を有する一方、サブアカウントにはルートアカウント下の何らかのリソースへのアクセス権限がありません。
ポリシー:ポリシーは、1つまたは複数の権限を定義および説明する構文仕様です。ルートアカウントはユーザー/ユーザーグループにポリシーをバインドすることによって権限承認を行います。
サブアカウントによるTEMの使用
コラボレーターとサブアカウントがTEMを使用する場合は、次の3つの面で権限承認を行う必要があります。
1. ロール(およびその許可ポリシー)をTEMサービスに渡します。ユーザーはサービスにロールを渡す許可を有する、すなわちPassRoleポリシーを作成する必要があります。詳細な操作についてはPassRoleポリシーの承認をご参照ください。 2. TEMの権限を使用して、サブアカウントにQcloudTEMFullAccessポリシーを付与し、サブアカウントがTEMのすべての権限を使用できるようにするか、あるいはQcloudTEMReadOnlyAccessポリシーによってサブアカウントに読み取り専用権限を承認することができます。詳細な操作についてはTEMプラットフォーム使用権限の承認をご参照ください。 3. TEMの使用の過程で他の製品に対する呼び出しを伴う場合は、ルートアカウントがサブアカウントに対し権限承認を行う必要があります。詳細な説明は他のクラウド製品へのアクセス権限の承認をご参照ください。 PassRoleポリシーの承認
ステップ1. ポリシーの新規作成
2. 左側ナビゲーションバーでポリシーをクリックし、ポリシー管理リストページに進みます。
3. カスタムポリシーの新規作成をクリックします。
4. ポリシー作成方式を選択するポップアップボックスで、ポリシー構文で作成をクリックし、ポリシー構文での作成ページに進みます。
6. ポリシー名と内容を入力し、ポリシーの作成をクリックします。ルートアカウントまたは管理権限を有するサブアカウントを使用して次の2つのカスタムポリシーを作成します。ポリシー構文は次のとおりです。
CLS以外のクラウド製品リソースへのアクセス:
{
"version": "2.0",
"statement": {
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInAccessCluster"
}
}
CLSクラウド製品リソースへのアクセス:
{
"version": "2.0",
"statement": {
"effect": "allow",
"action": "cam:PassRole",
"resource": "qcs::cam::uin/${OwnerUin}:role/tencentcloudServiceRoleName/TEM_QCSLinkedRoleInTEMLog"
}
}
このうち${OwnerUin}はルートアカウントIDです。コンソールのアカウント情報ページから取得できます。 ステップ2:ポリシーをユーザーにバインド
1. 左側ナビゲーションバーで、ユーザー > ユーザーリストをクリックし、ユーザー管理ページに進みます。 2. TEM使用権限を承認したいユーザーを選択し、操作列の権限承認をクリックします。
3. ポリシーリストからステップ1で作成したポリシーを選択します。
4. OKをクリックし、ポリシーのバインドを行います。このポリシーはユーザーのポリシーリストに表示されます。
TEMプラットフォーム使用権限の承認
全読み取り書き込みポリシー
サブユーザーにTEMサービスの完全な管理権限(作成、管理などの全操作)を承認します。
{
"version": "2.0",
"statement": [
{
"action": "tem:*",
"resource": "*",
"effect": "allow"
}
]
}
2. 左側メニューバーでポリシーをクリックします。 3. ポリシーリストで、カスタムポリシーの新規作成をクリックします。
4. ポリシー作成方式を選択するポップアップウィンドウで、ポリシー構文で作成を選択します。
5. テンプレートのタイプから「tem」を検索し、TEMの全読み取り書き込みアクセス権限QcloudTEMFullAccessを選択し、次のステップをクリックします。
6. 完了をクリックします。
その後の操作:作成したポリシーを対象のユーザーにバインドします。
読み取り専用ポリシー
サブユーザーにTEMサービスの読み取り専用権限を承認します。
{
"version": "2.0",
"statement": [
{
"action": [
"tem:Describe*"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 左側メニューバーでポリシーをクリックします。 3. ポリシーリストで、カスタムポリシーの新規作成をクリックします。
4. ポリシー作成方式を選択するポップアップウィンドウで、ポリシー構文で作成を選択します。
5. テンプレートのタイプから「tem」を検索し、TEMの読み取り専用アクセスポリシーQcloudTEMReadOnlyAccessを選択し、次のステップをクリックします。
6. ポリシーの作成をクリックします。
他のクラウド製品へのアクセス権限の承認
TEMプラットフォームは使用中に以下のクラウド製品に対する呼び出しを行います。対応するTEM製品機能の使用を保証するためには、ルートアカウントがサブアカウントに対し単独の権限承認を行う必要があります。
権限承認の例は次のとおりです。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"cam:DescribeRoleList",
"cvm:DescribeSecurityGroups",
"vpc:DescribeVpcEx",
"vpc:DescribeSubnetEx",
"tse:DescribeSREInstances",
"cls:DescribeLogsets",
"cls:DescribeTopics",
"cfs:DescribeCfsFileSystems",
"ssl:DescribeCertificate",
"tcr:DescribeRepositoryOwnerPersonal",
"tcr:DescribeRepositories",
"tcr:DescribeInstances",
"tcr:DescribeInternalEndpoints",
"tcr:CreateInstanceToken"
],
"resource": [
"*"
]
}
]
}