Cloud Access Management(CAM)は、お客様がTencent Cloudの製品とリソースへのアクセスを安心かつ精確に管理するためのユーザー及び権限の管理体系です。お客様には、CAMにユーザーまたはロールを作成し、Tencent Cloudへアクセスするために、独自のセキュリティー証明書(ログイン用のコンソールのパスワード、TencentCloud APIキーなど)または一時的に請求するセキュリティー証明書が割り当てられます。権限を管理することにより、ユーザーとロールが「どのような操作ができるか」、「どのリソースへアクセスできるか」をコントロールします。すでにプライベートネットワークアカウント体系を構築している会社や組織は、サブユーザー用のアカウントを作成しなく、あるいは協力者がいなくても、身分プロバイダーからの認証によって、SSOシングルサインオンが可能になり、IdP 身分認証により外部ユーザーが直接にお客様のTencent Cloudリソースにアクセスできます。
特徴
アクセス権限管理
ルートアカウントの身分証明を共有しなくても、ルートアカウントのリソースへアクセスさせるための権限を他のメンバーに簡単に付与できます。例えば、ルートアカウントに各スタッフにいくつかのサブアカウントを追加し、Tencent Cloudにあるアカウントのリソースを安全に管理することを実現します。
精細化された権限を付与
リソースの内容によってそれぞれのスタッフたちに特定の権限を付与することができます。例えば、一部のサブアカウントにはあるCOSバケットを読む権限を与え、もう一部のサブアカウント、あるいはルートアカウントにあるCOS保存オブジェクトの書き込む権限を付与します。
2段階認証
ルートアカウントとそれに所属するサブアカウントのための2段階認証をオンにして、アカウントセキュリティを強化することができます。2段階認証を利用して、お客様またはお客様のユーザーがログイン、あるいは機密操作をする前に、アカウントに必要なパスワードとアクセスキーを提示するだけでなく、特別に設定されたデバイスのコードも併せて提示する必要があります。
機能
アクセス権限管理
ルートアカウントの身分証明を共有しなくても、ルートアカウントのリソースへアクセスさせるための権限を他のメンバーに簡単に付与できます。例えば、ルートアカウントに各スタッフにいくつかのサブアカウントを追加し、Tencent Cloudにあるアカウントのリソースを安全に管理することを実現します。
精細化された権限管理
リソースの内容によってそれぞれのスタッフたちに特定の権限を付与することができます。例えば、一部のサブアカウントにはあるCOSバケットを読む権限を与え、もう一部のサブアカウント、あるいはルートアカウントにあるCOS保存オブジェクトの書き込む権限を付与します。
2段階認証
ルートアカウントとそれに所属するサブアカウントのための2段階認証をオンにして、アカウントセキュリティを強化することができます。2段階認証でお客様またはお客様のユーザーがログイン、あるいは敏感な操作をする前に、アカウントに必要なパスワードとアクセスキーを提供するだけでなく、特別に設定されたデバイスのコードも併せて提供する必要があります。
フェデレーション
Cloud Access Managementでお客様の身分認証システム(例えば、企業内ネットワークやインタネット上の身分プロバイダー)を使って、パスワードを取得したユーザーは、お客様のTencent Cloudにあるアカウントへ一時的にアクセスできる権限を取得します。
PCI DSSコンプライアンス
Cloud Access Managementは、販売会社とサービスプロバイダーによるクレジットカードのデータの処理、保存と伝送をサポートしています。また、ペイメントカード業界(PCI)とデータセキュリティ標準(DSS)の要件も満たされています。これは全世界で唯一、最も権威のあるペイメントカード産業のデータセキュリティ標準です。
多数のTencent Cloud製品をサポート
現在、Cloud Access Managementは多数のTencent Cloud製品をサポートしています。例えば、CVM、COS、クラウドデータベースなど、CAMのコンソールでリソース管理権限をアサインできます。CAMをサポートするTencent Cloudの製品リストに関しては、CAM に対応する製品ドキュメントを参照してください。
ユースケース
リソースへの精細化されたアクセスコントロール
企業ディレクトリでTencent Cloudにシングルサインオン
2段階認証によるアカウントの安全性の向上
リソース管理権限をサブユーザーにアサインする際、Cloud Access Managementにユーザーまたはロールを作成し、Tencent Cloudへアクセスするために、独自のセキュリティー証明書(ログイン用のコンソールのパスワード、TencentCloud API、キーなど)または一時的にリクエストするセキュリティー証明書」が割り当てられます。権限を管理することにより、ユーザーとロールが「どのような操作ができるか」、「どのリソースへアクセスできるか」をコントロールします。
すでにTencent Cloudの外部ユーザーになっているユーザーがTencent Cloudリソースへアクセスしたい場合は、Cloud Access Managementでお客様の身分認証体系を使って、スタッフ及びサービスにTencent Cloudサービスとリソースへのアクセス権限を提供することができます。Tencent CloudはSAML 2.0(Security Assertion Markup Language 2.0)によるフェデレーションで企業のプライベートネットワークアカウントの相互接続を実現します。
サブユーザーに、ユーザー名とパスワード以外に、セキュリティ保護機能を追加することが必要です。検証方式は3種類があります:WechatでのQRコードスキャン、MFAデバイス検証(ハードウェアMFA検証デバイスと仮想のデバイス検証に分かれています)とSMS Captcha検証です。設定状態によって、ログインと敏感な操作をする前に、WechatでのQRコードをスキャンし、または身分と環境の安全性を検証するため、有効な6桁の認証コードを提供することが必要です。
料金
Tencent Cloud Access Managementは、Tencent Cloudアカウントに提供する無料サービスの1つであるため、追加料金は発生しません。但し、Tencent Cloudの他のサービスをご利用の際に、利用料金が発生する可能性があります。