6.5.1. API実行権限管理の設定例

以下にAPI実行権限を管理する際の例を示します。
ポータル画面の操作を許可する場合、Keystoneへのアクセスを許可する権限設定例 で作成したグループに加えて、管理機能のGET操作を許可する権限設定例 で作成したグループをそれぞれユーザーに紐付けます。(詳しくは ポータル画面へのアクセス時の注意点 を参照 )
続いて、独自にAPI実行権限の制御を行うグループ(図中のuser_defined_group)をユーザーに紐付けていきます。これらのグループには OR条件 が適用されます。
IAMグループを複数作成し、OR条件 を利用して権限をユーザーに付与するとAPI実行権限の柔軟な管理が可能になります。
管理例

図 6.5.1.1 ユーザーと複数のIAMグループ紐付けのイメージ