プロダクトの概要
購入ガイド
クイックスタート
ユーザーガイド
- 概要
- ユーザー
- アクセスキー
- ユーザーグループ
- ロール
- アイデンティティプロバイダー
- ポリシー
- 権限境界
- トラブルシューティング
- セキュリティ分析レポートのダウンロード
CAM-Enabled Role
- Overview
- Compute
- Container
- Microservice
- Essential Storage Service
- Data Process and Analysis
- Data Migration
- Relational Database
- Enterprise Distributed DBMS
- NoSQL Database
- Database SaaS Tool
- Database SaaS Service
- Networking
- CDN and Acceleration
- Network Security
- Data Security
- Application Security
- Domains & Websites
- Big Data
- Tencent Big Model
- Middleware
- Interactive Video Services
- Real-Time Interaction
- Media On-Demand
- Media Process Services
- Media Process
- Cloud Real-time Rendering
- Game Services
- Cloud Resource Management
- Management and Audit Tools
- Developer Tools
- Monitor and Operation
- More
CAM-Enabled API
- Overview
- Compute
- Edge Computing
- Container
- Distributed cloud
- Microservice
- Serverless
- Essential Storage Service
- Data Process and Analysis
- Data Migration
- Relational Database
- Enterprise Distributed DBMS
- NoSQL Database
- Database SaaS Tool
- Networking
- CDN and Acceleration
- Network Security
- Endpoint Security
- Data Security
- Business Security
- Application Security
- Domains & Websites
- Office Collaboration
- Big Data
- Voice Technology
- Image Creation
- Tencent Big Model
- AI Platform Service
- Natural Language Processing
- Optical Character Recognition
- Middleware
- Communication
- Interactive Video Services
- Real-Time Interaction
- Stream Services
- Media On-Demand
- Media Process Services
- Media Process
- Cloud Real-time Rendering
- Game Services
- Education Sevices
- Medical Services
- Cloud Resource Management
- Management and Audit Tools
- Developer Tools
- Monitor and Operation
- More
実践のチュートリアル
- セキュリティの実践チュートリアル
- 複数アイデンティティ権限管理
- Tag下の一部操作権限を付与する
- 従業員間のリソース分離アクセスのサポート
- 企業マルチアカウント権限管理
- 従業員のTencent Cloud操作ログを閲覧する
- ABACによる従業員のリソースアクセス権限管理
- タグ認証時にタグキーのみマッチをサポート
商用事例
- MySQL関連ケース
- CLB 関連ケース
- CMQ関連ケース
- COS 関連ケース
- CVM関連ケース
- VPC 関連ケース
- VOD関連ケース
- その他のケース
よくあるご質問
用語一覧

ポリシー変数

フォーカスモード

フォントサイズ

最終更新日: 2025-12-29 17:59:09

使用シナリオ
シナリオ例：各CAMユーザーに、自身が作成したリソースへのアクセス権限を付与したい場合です。例えば、COSリソースの作成者がデフォルトでそのリソースへのアクセス権限を持つように設定したい場合です。
リソース所有者（ルートアカウント）がリソースを一つずつリソース作成者に付与する場合、権限付与のコストが高く、各種リソースごとにポリシーを作成し、作成者に付与する必要があります。このような場合、ポリシー変数を使用することでご要望を実現できます。ポリシーのリソース定義で、作成者のサブアカウント uin を記述するプレースホルダーを追加します。このプレースホルダーがポリシー変数です。認証時には、ポリシー変数はリクエスト自体のコンテキスト情報に置換されます。
作成者にリソースアクセス権限を付与するポリシーの記述方法は以下の通りです： 
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": "cmqqueue:*",
            "resource": "qcs::cmqqueue::uin/1000001:queueName/uin/${uin}/*"
        }
    ]
}
ポリシー変数は、各リソースのパスに作成者のサブアカウント uin を含みます。例えば、サブアカウント uin が125000000のサブアカウント（対応するルートアカウント uin は1000001）が、成都リージョンに queueName/uin/125000000 という名前の cmq メッセージキューを作成した場合、その対応するリソースの記述方法は 
qcs::cmqqueue:ap-chengdu:uin/1000001:queueName/uin/125000000
サブアカウント uin が125000000のサブアカウントがこのリソースにアクセスする際、認証プロセスでは対応するポリシー情報のプレースホルダーがアクセス者、すなわち 
qcs::cmqqueue::uin/1000001:queueName/uin/125000000
ポリシー内のリソース qcs::cmqqueue::uin/1000001:queueName/uin/125000000 はプレフィックスマッチでリソース qcs::cmqqueue:ap-chengdu:uin/1000001:queueName/uin/125000000 にアクセスできます。
ポリシー変数の位置
リソース要素の位置 ：ポリシー変数は リソースの6セグメント形式 の最後のセグメントで使用できます。
条件要素の位置 ：ポリシー変数は条件値の中で使用できます。
以下のポリシーは、VPC作成者がアクセス権限を持つことを表します。
{  
        "version":"2.0", 
        "statement": [       
         { 
            "effect":"allow", 
            "action":"name/vpc:*", 
            "resource":"qcs::vpc::uin/12357:vpc/*",
            "condition":{"string_equal":{"qcs:create_uin":"${uin}"}} 
         }
      ]
}
説明：
COSのリソース6セグメント形式は qcs::cos:$region:uid/$appid:$bucketname-$appid/$ResourcesPath です。ここで、$ResourcesPath は具体的なリソースパスであり、かつ $ResourcesPath では上述のポリシー変数を使用できません。完全な COS ストレージバケット Bucket のリソース6セグメント形式は以下の通りです：
qcs::cos:ap-guangzhou:uid/1250000000:examplebucket-1250000000/path_1/path_2/pic.jpeg。
ポリシー変数一覧
現在サポートされているポリシー変数のリストは以下の通りです：
変数名
変数の意味
${uin}
現在のアクセス者のサブアカウント uin。アクセス者がルートアカウントの場合、これはルートアカウント uin と一致します。
${owner_uin}
現在のアクセス者が所属するルートアカウントの uin です。
${app_id}
現在のアクセス者が所属するルートアカウントの APPIDです。

ヘルプとサポート

この記事はお役に立ちましたか？

営業担当者にお問い合わせいただくかチケットを提出してサポートを求めることができます。

フィードバック

tencent cloud

Cloud Access Management

ポリシー変数

使用シナリオ

ポリシー変数の位置

ポリシー変数一覧

ヘルプとサポート

変数名	変数の意味
${uin}	現在のアクセス者のサブアカウント uin。アクセス者がルートアカウントの場合、これはルートアカウント uin と一致します。
${owner_uin}	現在のアクセス者が所属するルートアカウントの uin です。
${app_id}	現在のアクセス者が所属するルートアカウントの APPIDです。