tencent cloud

Cloud Access Management

ドキュメントCloud Access Managementユーザーガイドポリシーシンタックスのロジック有効条件適用シーン

適用シーン

PDF
フォーカスモード
フォントサイズ
最終更新日: 2025-12-29 17:59:10
シナリオタイプ
シナリオ説明
条件演算子は条件キーの条件値を含みます。
VPCを指定されたPeering Connectionに紐付けすることを許可しますが、VPCのリージョンを指定する必要があります。
Tagを紐付けしたCloud Virtual Machine (CVM)インスタンスのみ再起動することができます。
条件演算子は1つの条件キーの複数の条件値を含みます。
2つのIPを指定したユーザーのアクセスを許可します。
複数の条件演算子を持つシナリオ
指定したIPと指定した日付のユーザーのアクセスを許可します。
単一の条件演算子は複数の条件キーを含みます。
複数の条件キーを単一の条件演算子に付加する
ブール値条件演算子の適用
サブユーザーはtokenの紐付け後にのみAPIキーを削除できます。

条件演算子は条件キーの条件値を含みます。

シナリオ説明1

CAMユーザーがVPC Peering Connection APIを呼び出す場合、CAMユーザーがPeering Connection APIおよびPeering Connectionリソースへのアクセス権限を持っているかどうかを判断する必要があるだけでなく、CAMユーザーがPeering Connectionに関連付けられたVPCへのアクセス権限を持っているかどうかも確認する必要があります。

使用例1

以下の例は、VPCが指定されたPeering Connectionに紐付けすることを許可しますが、VPCのリージョンは上海である必要があります。
{
    "version": "2.0",
    "statement": [
    {
        "effect": "allow",
        "action": "name/vpc:AcceptVpcPeeringConnection",
        "resource": "qcs::vpc:sh::pcx/2341",
        "condition": {
            "string_equal_if_exist": {
                "vpc:region": "sh"
            }
        }
    }
   ]
}

シナリオ説明2

CAMユーザーがTencent Cloudリソースにアクセスする場合、ユーザーが指定したTagが紐付けられたリソースのみにアクセスできるように制限する必要があります。

使用例2

以下の例は、ユーザーがTag「部門&開発部」が紐付けられたCVMインスタンスのみ再起動(cvm:RebootInstances)できることを記述しています。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cvm:RebootInstances"
            ],
            "resource": "*",
            "condition": {
                "for_any_value:string_equal": {
                    "qcs:resource_tag": [
                        "Department&Research and Development"
                    ]
                }
            }
        }
    ]
}

条件演算子は1つの条件キーの複数の条件値を含みます。

シナリオ説明

単一の条件演算子が1つの条件キーの複数の条件値を含む場合、論理ORでその条件演算子を評価します。複数の条件値には集合演算子記号を使用する必要があります。
CAMユーザーがTencentCloud APIを呼び出す場合、ユーザーのアクセスソースを制限する必要があるときは、既存のポリシーにIP条件を追加する必要があります。

使用例

以下の例は、ユーザーがオブジェクトをアップロード(cos:PutObject)するには、10.217.182.3/24または111.21.33.72/24のネットワークセグメントにいる必要があることを記述しています。
{
    "version": "2.0",
    "statement":[
    {
        "effect": "allow",
        "action": "cos:PutObject",
        "resource": "*",
        "condition": {
            "ip_equal": {
                "qcs:ip": [
                    "10.217.182.3/24",
                    "111.21.33.72/24"
                ]
            }
        }
    }
  ]  
}

複数の条件演算子を持つシナリオ

シナリオ説明

ポリシーが複数の条件演算子を持つ場合、論理ANDを使用して条件を評価します。

使用例

以下の例は、ユーザーのリクエストIPが192.168.1.1であり、かつリクエスト日付が2022-05-31 00:00:00より前である場合にのみ一致することを記述しています。
"condition":{
                "ip_equal": {
                    "qcs:ip": "192.168.1.1"
                },
                "date_less_than": {
                    "qcs:current_time": "2022-05-31 00:00:00"
                }
            }

単一の条件演算子は複数の条件キーを含む

シナリオ説明

ポリシーが複数の条件演算子を持つ、または単一の条件演算子に複数の条件キーを付加する場合、論理ANDを使用して条件を評価します。

使用例

以下の例は、リソースのTagが「部門&開発部」であり、かつリクエストのTagが「部門&開発部」である場合にのみ一致することを記述しています。
"condition": {
                "string_equal": {
                    "qcs:resource_tag": [
                        "Department&Research and Development"
                    ],
                    "qcs:request_tag": [
                        "Department&Research and Development"
                    ]
                }
            }

ブール値条件演算子の適用

シナリオ説明

サブユーザーはtokenの紐付け後にのみAPIキーを削除できます。

使用例

このポリシーの権限付与を受けたサブユーザーは、tokenの紐付け後にのみAPIキーを削除できます。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cam:DeleteApiKey"
            ],
            "resource": [
                "*"
            ],
            "condition": {
                "bool_equal": {
                    "qcs:BindToken": "true"
                }
            }
        }
    ]
}

前の記事へ: 条件キーと条件演算子次の記事へ: ポリシーのバージョン管理

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック