6.5.5. ユーザーの操作する仮想マシンを限定する権限設定例¶
指定した仮想サーバーの操作のみユーザーに許可するIAMロールの例は以下のとおりです。project_idはテナントID、server_idは操作を限定したいインスタンスIDです。
本設定は Nova Restricted Operation という名称のテンプレートとして提供されています。
{
"contract_id" : "econXXXXXXXXX",
"iam_role_name" : "nova_restricted_operation",
"description" : "操作VM限定ユーザー",
"resources" : [
{
"basePath" : "/ecl-nova",
"ipAddress" : "*",
"path" : "/v2/{project_id}/servers/{server_id}/*",
"verb" : "*"
}
]
}
pathにエンドポイント以降のリクエストURLを指定すると、操作するVMを限定できます。
server_id以降のすべてのpathを許容するため *を用いて指定しています。 *を指定しない場合、/v2/{project_id}/servers/{server_id}のpathを使用するAPIのみ実行可能な制限となります。
上記のIAMロールをnova_restricted_operation_groupに紐付けます。
図 6.5.5.1 設定イメージ