IAMロールとIAMグループについて

本機能はIAMロールとIAMグループにより実現されます。IAMロールとIAMグループの紐付け、IAMグループとユーザーの紐付けを行うことで一般ユーザーの実行権限を制御することが可能です。

IAMロール

IAMロールはAPIの実行許可やAPI実行の条件などを示すものです。ホワイトリスト形式で記述します。
管理ユーザーは以下のパラメータをリクエストボディのresourcesに設定することにより、IAMロールを設定します。
basePath 実行を許可する各APIエンドポイントを指定します。basePathの記述方法は下記の表に示します。
ipAddress 実行を許可するアクセス元グローバルIPアドレスを指定します。
path 実行を許可するURLのパスを指定します。
verb 実行を許可するメソッドを指定します。GET/PUT/POST/DELETE/PATCHの5つが記述可能です。
任意の要素 各APIのクエリパラメータやリクエストボディに含まれる値を指定します。例としては、テナントのIDやユーザーのIDなどです。
各パラメータではワイルドカードとして*が使用可能です。
1つのIAMロールのresourcesには複数の権限を記述することが可能です。その場合、条件は OR 条件となります。(詳しくは 権限記述におけるAND・OR条件について を参照)
各APIエンドポイントとbasePathの表記の対応は以下のようになります。
機能名 エンドポイントURL basePath
Keystone keystone-[Region Name]-ecl.api.ntt.com /ecl-keystone
管理機能 sss-[Region Name]-ecl.api.ntt.com /ecl-sss
ネットワーク / コロケーション接続(1000BASE-LX/10GBASE-LR) / セキュリティグループ network-[Region Name]-ecl.api.ntt.com /ecl-network
事業者接続 provider-connectivity-[Region Name]-ecl.api.ntt.com /ecl-provider-connectivity
ベアメタルサーバー baremetal-server-[Region Name]-ecl.api.ntt.com /ecl-baremetal-server
リモートコンソールアクセス rca-[Region Name]-ecl.api.ntt.com /ecl-rca
イメージ保存領域 glance-[Region Name]-ecl.api.ntt.com /ecl-glance
仮想サーバー
nova-[Region Name]-ecl.api.ntt.com
cinder-[Region Name]-ecl.api.ntt.com
/ecl-nova
/ecl-cinder
ストレージ storage-[Region Name]-ecl.api.ntt.com /ecl-storage
Wasabi Object Storage api.ntt.com /ecl-objectstorage
コロケーション接続(1000BASE-T)/ EnterpriseCloud接続 interconnectivity-[Region Name]-ecl.api.ntt.com /ecl-interconnectivity
専用ハイパーバイザー dedicated-hypervisor-[Region Name]-ecl.api.ntt.com /ecl-dedicated-hypervisor
Hybrid Cloud for Azure api.ntt.com /ecl-hc-azure
Red Hat OpenShift Platform api.ntt.com /ecl-scduo
モニタリング monitoring-[Region Name]-ecl.api.ntt.com /ecl-monitoring
モニタリング ログ monitoring-logs-[Region Name]-ecl.api.ntt.com /ecl-monitoring-logs
DNS dns-[Region Name]-ecl.api.ntt.com /ecl-dns
WebRTC Platform webrtc-[Region Name]-ecl.api.ntt.com /ecl-webrtc
セキュリティ
(Order API) mss-rfg-[Region Name]-ecl.api.ntt.com
(Portal API) mss-msa-[Region Name]-ecl.api.ntt.com
/ecl-mss-rfg
/ecl-mss-msa
セキュリティ Version2
(Order API) security-order-[Region Name]-ecl.api.ntt.com
(Portal API) security-operation-[Region Name]-ecl.api.ntt.com
/ecl-security-order
/ecl-security-operation
バックアップ backup-[Region Name]-ecl.api.ntt.com /ecl-backup
Deployment Manager(heat) heat-[Region Name]-ecl.api.ntt.com /ecl-heat
For Middleware / GSLB / Power Systems soi-[Region Name]-ecl.api.ntt.com /ecl-soi
Virtual Network Appliance virtual-network-appliance-[Region Name]-ecl.api.ntt.com /ecl-virtual-network-appliance
Managed Load Balancer managed-load-balancer-[Region Name]-ecl.api.ntt.com /ecl-managed-load-balancer
IaaS Powered by VMware mvp-[Region Name]-ecl.api.ntt.com /ecl-mvp
Flexible InterConnect/FIC モニタリング api.ntt.com
(Flexible InterConnect) /fic-eri
(FIC モニタリング) /fic-monitoring
Super OCN Flexible Connect api.ntt.com /ocnx-transit
Distributed Secure Internet GateWay api.ntt.com /dsigw-erg
IoT Connect Mobile Type S api.ntt.com /icms-esim

IAMグループ

IAMグループはIAMロールをまとめたものものです。ユーザーはIAMグループに属します。ユーザーにはIAMグループに紐付いているIAMロールによる実行権限の制御が適用されます。

IAMグループとユーザーの関係

ユーザーはIAMグループに属します。作成された直後のユーザーはデフォルトグループに属します。(デフォルトグループについては、 デフォルトグループとデフォルトロールについて を参照)
ユーザーには、所属IAMグループに紐づくIAMロールの権限が適用されます。管理ユーザーは一般ユーザーに対して、IAMグループへの紐付けと紐付けの解除を行うことが可能です。管理ユーザーは自身の所属グループを変更することはできません。
また、ユーザーは複数のIAMグループに属することが可能です。複数のIAMグループに属するユーザーは各IAMグループの OR 条件が適用されます。(詳しくは 権限記述におけるAND・OR条件について を参照)

警告

どのグループにも属していないユーザーは Smart Data Platform の操作を行うことができません。

IAMグループとIAMロールの関係

IAMロールもユーザーと同様IAMグループに属します。IAMグループに属しているユーザーはそのIAMグループに紐づくIAMロールによって実行権限が制御されます。管理ユーザーはIAMロールとIAMグループの紐付けと紐付けの解除を行うことが可能です。
IAMロールは複数のIAMグループに紐付けることができます。ある1つのグループに複数のIAMロールが紐づく場合、それらのIAMロールには AND 条件が適用されます。(詳しくは 権限記述におけるAND・OR条件について を参照)
また、初期状態ではデフォルトロールが用意されています。(デフォルトロールについては、 デフォルトグループとデフォルトロールについて を参照)