IAMロールとIAMグループについて¶
本機能はIAMロールとIAMグループにより実現されます。IAMロールとIAMグループの紐付け、IAMグループとユーザーの紐付けを行うことで一般ユーザーの実行権限を制御することが可能です。
IAMロール¶
IAMロールはAPIの実行許可やAPI実行の条件などを示すものです。ホワイトリスト形式で記述します。
管理ユーザーは以下のパラメータをリクエストボディのresourcesに設定することにより、IAMロールを設定します。
| basePath | 実行を許可する各APIエンドポイントを指定します。basePathの記述方法は下記の表に示します。 |
| ipAddress | 実行を許可するアクセス元グローバルIPアドレスを指定します。 |
| path | 実行を許可するURLのパスを指定します。 |
| verb | 実行を許可するメソッドを指定します。GET/PUT/POST/DELETE/PATCHの5つが記述可能です。 |
| 任意の要素 | 各APIのクエリパラメータやリクエストボディに含まれる値を指定します。例としては、テナントのIDやユーザーのIDなどです。 |
各パラメータではワイルドカードとして*が使用可能です。
1つのIAMロールのresourcesには複数の権限を記述することが可能です。その場合、条件は OR 条件となります。(詳しくは 権限記述におけるAND・OR条件について を参照)
各APIエンドポイントとbasePathの表記の対応は以下のようになります。
| 機能名 | エンドポイントURL | basePath |
| Keystone | keystone-[Region Name]-ecl.api.ntt.com | /ecl-keystone |
| 管理機能 | sss-[Region Name]-ecl.api.ntt.com | /ecl-sss |
| ネットワーク / コロケーション接続(1000BASE-LX/10GBASE-LR) / セキュリティグループ | network-[Region Name]-ecl.api.ntt.com | /ecl-network |
| 事業者接続 | provider-connectivity-[Region Name]-ecl.api.ntt.com | /ecl-provider-connectivity |
| ベアメタルサーバー | baremetal-server-[Region Name]-ecl.api.ntt.com | /ecl-baremetal-server |
| リモートコンソールアクセス | rca-[Region Name]-ecl.api.ntt.com | /ecl-rca |
| イメージ保存領域 | glance-[Region Name]-ecl.api.ntt.com | /ecl-glance |
| 仮想サーバー | nova-[Region Name]-ecl.api.ntt.com
cinder-[Region Name]-ecl.api.ntt.com
|
/ecl-nova
/ecl-cinder
|
| ストレージ | storage-[Region Name]-ecl.api.ntt.com | /ecl-storage |
| Wasabi Object Storage | api.ntt.com | /ecl-objectstorage |
| コロケーション接続(1000BASE-T)/ EnterpriseCloud接続 | interconnectivity-[Region Name]-ecl.api.ntt.com | /ecl-interconnectivity |
| 専用ハイパーバイザー | dedicated-hypervisor-[Region Name]-ecl.api.ntt.com | /ecl-dedicated-hypervisor |
| Hybrid Cloud for Azure | api.ntt.com | /ecl-hc-azure |
| Red Hat OpenShift Platform | api.ntt.com | /ecl-scduo |
| モニタリング | monitoring-[Region Name]-ecl.api.ntt.com | /ecl-monitoring |
| モニタリング ログ | monitoring-logs-[Region Name]-ecl.api.ntt.com | /ecl-monitoring-logs |
| DNS | dns-[Region Name]-ecl.api.ntt.com | /ecl-dns |
| WebRTC Platform | webrtc-[Region Name]-ecl.api.ntt.com | /ecl-webrtc |
| セキュリティ | (Order API) mss-rfg-[Region Name]-ecl.api.ntt.com
(Portal API) mss-msa-[Region Name]-ecl.api.ntt.com
|
/ecl-mss-rfg
/ecl-mss-msa
|
| セキュリティ Version2 | (Order API) security-order-[Region Name]-ecl.api.ntt.com
(Portal API) security-operation-[Region Name]-ecl.api.ntt.com
|
/ecl-security-order
/ecl-security-operation
|
| バックアップ | backup-[Region Name]-ecl.api.ntt.com | /ecl-backup |
| Deployment Manager(heat) | heat-[Region Name]-ecl.api.ntt.com | /ecl-heat |
| For Middleware / GSLB / Power Systems | soi-[Region Name]-ecl.api.ntt.com | /ecl-soi |
| Virtual Network Appliance | virtual-network-appliance-[Region Name]-ecl.api.ntt.com | /ecl-virtual-network-appliance |
| Managed Load Balancer | managed-load-balancer-[Region Name]-ecl.api.ntt.com | /ecl-managed-load-balancer |
| IaaS Powered by VMware | mvp-[Region Name]-ecl.api.ntt.com | /ecl-mvp |
| Flexible InterConnect/FIC モニタリング | api.ntt.com | (Flexible InterConnect) /fic-eri
(FIC モニタリング) /fic-monitoring
|
| Super OCN Flexible Connect | api.ntt.com | /ocnx-transit |
| Distributed Secure Internet GateWay | api.ntt.com | /dsigw-erg |
| IoT Connect Mobile Type S | api.ntt.com | /icms-esim |
IAMグループ¶
IAMグループはIAMロールをまとめたものものです。ユーザーはIAMグループに属します。ユーザーにはIAMグループに紐付いているIAMロールによる実行権限の制御が適用されます。
IAMグループとユーザーの関係¶
ユーザーはIAMグループに属します。作成された直後のユーザーはデフォルトグループに属します。(デフォルトグループについては、 デフォルトグループとデフォルトロールについて を参照)
ユーザーには、所属IAMグループに紐づくIAMロールの権限が適用されます。管理ユーザーは一般ユーザーに対して、IAMグループへの紐付けと紐付けの解除を行うことが可能です。管理ユーザーは自身の所属グループを変更することはできません。
また、ユーザーは複数のIAMグループに属することが可能です。複数のIAMグループに属するユーザーは各IAMグループの OR 条件が適用されます。(詳しくは 権限記述におけるAND・OR条件について を参照)
警告
どのグループにも属していないユーザーは Smart Data Platform の操作を行うことができません。
IAMグループとIAMロールの関係¶
IAMロールもユーザーと同様IAMグループに属します。IAMグループに属しているユーザーはそのIAMグループに紐づくIAMロールによって実行権限が制御されます。管理ユーザーはIAMロールとIAMグループの紐付けと紐付けの解除を行うことが可能です。
IAMロールは複数のIAMグループに紐付けることができます。ある1つのグループに複数のIAMロールが紐づく場合、それらのIAMロールには AND 条件が適用されます。(詳しくは 権限記述におけるAND・OR条件について を参照)
また、初期状態ではデフォルトロールが用意されています。(デフォルトロールについては、 デフォルトグループとデフォルトロールについて を参照)