評価ロジック
Tencent Cloudユーザーがクラウドリソースにアクセスする場合、CAMは以下の評価ロジックに基づいて許可または拒否を決定します。
1. デフォルトでは、すべてのリクエストは拒否されます。
2. CAM は現在のユーザーに関連付けられたすべてのポリシーを確認します。
2.1 ポリシーにマッチするかどうかを判断します。マッチする場合は次の判断に進み、そうでない場合は最終判断がdenyとなり、クラウドリソースへのアクセスは許可されません。
2.2 denyポリシーにマッチするかどうかを判断します。マッチする場合は最終判定がdenyとなり、クラウドリソースへのアクセスは許可されません、そうでない場合は次の判断に進みます。
2.3 allowポリシーにマッチするものがあるかどうかを判断します。マッチする場合は最終判断はallowとなり、クラウドリソースへのアクセスを許可します、そうでない場合は最終判定はdenyとなり、クラウドリソースへのアクセスを許可しません。
注意:
ルートアカウントは、デフォルトでその配下のすべてのリソースへのアクセス権限を持っています、かつ現在、COS/CAS製品のみがクロスアカウントのリソースアクセスをサポートしています。
一部の汎用ポリシーは、デフォルトですべてのCAMユーザーに関連付けられます。詳細は以下の汎用ポリシー表を参照してください。
その他のポリシーは必ず明示的に指定する必要があり、allowおよびdenyポリシーを含みます。
クロスアカウントリソースアクセスをサポートするビジネスにおいて、権限委譲のシナリオが存在します。すなわち、ルートアカウントAがルートアカウントB配下の特定のサブアカウントに、自身のリソースへのアクセス権限を権限付与する場合です。この場合、CAMは同時に、AがBにその権限を付与しているかどうか、およびBがそのサブアカウントに権限を付与しているかどうかを検証します。両方が満たされている場合にのみ、BのサブアカウントはAのリソースにアクセスする権限を持ちます。
現在サポートされている
汎用ポリシー一覧は以下の通りです:ポリシー説明 | ポリシー定義 |
APIキーの確認にはMFA認証が必要です。 | { "principal":"", "action":"account:QueryKeyBySecretId", "resource":"", "condition":{"string_equal":{"mfa":"0"}} } |
センシティブ操作の設定にはMFA認証が必要です。 | { "principal":"", "action":"account:SetSafeAuthFlag", "resource":"", "condition":{"string_equal":{"mfa":"0"}} } |
トークンの紐付けにはMFA認証が必要です。 | { "principal":"", "action":"account:BindToken", "resource":"", "condition":{"string_equal":{"mfa":"0"}} } |
トークンの紐付け解除にはMFA認証が必要です。 | { "principal":"", "action":"account:UnbindToken", "resource":"", condition":{"string_equal":{"mfa":"0"}} } |
メールアドレスの変更にはMFA認証が必要です。 | { "principal":"", "action":"account:ModifyMail", "resource":"", "condition":{"string_equal":{"mfa":"0"}} } |
電話番号の変更にはMFA認証が必要です。 | { "principal":"", "action":"account:ModifyPhoneNum", "resource":"", "condition":{"string_equal":{"mfa":"0"}} } |
フィードバック