ユースケース
現在、ルートアカウントA(APPIDは1250000000)の名前の下にバケットexamplebucket1-1250000000
とexamplebucket2-1250000000
があり、これとは別にルートアカウントBとそのサブアカウントB0があります。B0は業務上の必要性により、アカウントA下の2つのバケットを操作したいとします。その場合の関連の権限承認操作の方法について以下でご説明します。
操作手順
ルートアカウントBにAの名前のバケットの操作権限を承認する
- ルートアカウントAを使用してCOSコンソールにログインします。
- バケットリストをクリックし、権限を承認したいバケットを見つけ、その名前をクリックしてバケット詳細ページに進みます。
- 左側ナビゲーションバーで権限管理をクリックし、そのバケットの権限管理ページに進みます。
- Policy権限設定の設定項目を見つけ、ポリシーの追加をクリックし、カスタムポリシーを選択して次のステップをクリックします。
- 次のフォーマットの項目を入力します。
- ポリシーID:未入力でもかまいません。
- エフェクト:許可。
- ユーザー:ユーザーをクリックして追加します。ユーザータイプはルートアカウントを選択し、アカウントIDにはルートアカウントBのUIN(例:100000000002)を入力します。
- リソース:必要に応じて選択します。デフォルトではバケット全体です。
- リソースパス:リソースを指定する場合のみ入力が必要です。必要に応じて入力します。
- アクション:クリックしてアクションを追加し、すべてのアクションを選択します。一部のアクションにのみ権限を承認したい場合は、実際に必要なアクションを1つまたは複数選択することもできます。
- 条件:必要に応じて入力します。不要な場合は空にしておくことができます。
- 完了をクリックします。この時点でルートアカウントBはこのバケットの操作に関するすべての権限を取得しています。
- 他のバケットへの権限承認を行いたい場合は、上記の手順を繰り返してください。
サブアカウントB0にAの名前のバケットの操作権限を承認する
- ルートアカウントBを使用してCloud Access Management(CAM)コンソールのポリシーページにログインします。
- カスタムポリシーの新規作成 > ポリシー構文で作成を選択し、続いて空白テンプレートを選択し、次のステップをクリックします。
説明:
ルートアカウントBがサブアカウントB0に権限承認を行う場合は、カスタムポリシーによる権限承認のみ可能であり、プリセットポリシーによる権限承認は行えません。
- 次のフォーマットに入力します。
- ポリシー名:重複せず、かつ意味のあるポリシー名(例:cos-child-account)をご自身で定義します。
- 備考:オプションです。ご自身で入力します。
- ポリシー内容:
{
"version": "2.0",
"statement":[
{
"action": "cos:*",
"effect": "allow",
"resource": "qcs::cos::uid/1250000000:examplebucket1-1250000000/*"
}
]
}
このうち、uid/1250000000
の1250000000はルートアカウントAのAPPID、examplebucket1-1250000000
は権限を承認されたバケット名です。バケットリソースexamplebucket1-1250000000/*
は、ルートアカウントBが操作権限を持つAの名前のすべてのバケットの権限をサブアカウントB0に付与することを表します。
4. 完了をクリックすると、ポリシーの作成が完了します。
5. ポリシーリストで先ほど作成したポリシーを見つけ、右側のユーザー/グループ/ロールのバインドをクリックします。
6. ポップアップウィンドウで、サブアカウントB0にチェックを入れ、OKをクリックします。
7. 権限承認操作が完了し、サブアカウントB0のキーを使用して、Aの名前のバケットのテスト操作を行うことができるようになります。
この記事はお役に立ちましたか?