6.5.4. 読み取り専用ユーザー(ReadOnlyUser)設定例¶
読み取り専用ユーザーのIAMロールの例は以下のとおりです。
本設定は READ ONLY という名称のテンプレートとして提供されています。
{
"contract_id" : "econXXXXXXXXX",
"iam_role_name" : "read_only",
"description" : "読み取り専用IAMロール",
"resources" : [
{
"basePath" : "*",
"ipAddress" : "*",
"path" : "*",
"verb" : "GET"
}
]
}
上記のIAMロールをread_only_groupに紐付けます。
図 6.5.4.1 設定イメージ
また、仮想サーバーやベアメタルサーバーのコンソールアクセスを許可する場合、POST APIの許可が必要となります。(参考: 仮想サーバーのGet console 、 ベアメタルサーバーのGet Management Console )
以下のような設定で、それぞれのコンソールアクセスを許可できます。
本設定は Server Console Access という名称のテンプレートとして提供されています。
{
"contract_id" : "econXXXXXXXXX",
"iam_role_name" : "console_access",
"description" : "VM/Baremetal Serverへのコンソールアクセスを許可するIAMロール",
"resources" : [
{
"basePath" : "/ecl-nova",
"ipAddress" : "*",
"path" : "*",
"verb" : "POST",
"os-getVNCConsole" : "*",
"type" : "novnc"
},
{
"basePath" : "/ecl-baremetal-server",
"ipAddress" : "*",
"path" : "*",
"verb" : "POST",
"os-getManagementConsole" : "*"
}
]
}