権限記述におけるAND・OR条件について

複数の実行権限の制御が適用される場合、それぞれの制御は以下のような条件となります。

OR 条件	a.IAMロール内のresourcesに複数の条件が記述された場合 b.ユーザーが複数のIAMグループに所属する場合
AND 条件	c.1つのIAMグループに複数のIAMロールが紐付いている場合

AND**条件 と **OR 条件について、例を上げて説明をします。

a.IAMロール内のresourcesに複数の条件が記述された場合

resourcesの配列内に2つ以上の条件を記述すると OR 条件となります。

以下のような条件で作成したIAMロールは、Keystoneもしくは管理機能のAPIを実行する権限をもつロールとなります。

resources[
    {
        "basePath" : "/ecl-keystone",
        "ipAddress" : "*",
        "path" : "*",
        "verb" : "*"
    },
    {
    "basePath" : "/ecl-sss",
        "ipAddress" : "*",
        "path" : "*",
        "verb" : "*"
    }
]

b.ユーザーが複数のIAMグループに所属する場合

ユーザーが複数のIAMグループに属する場合、これらのグループの実行権限制御の OR 条件となります。

a.IAMロール内のresourcesに複数の条件が記述された場合 の例であげたIAMロールを紐付けたグループと以下のようなIAMロールを紐付けたグループにユーザーを所属させるとします。

その場合、このユーザーはKeystoneもしくは管理機能もしくは仮想サーバーへの実行する権限をもつユーザーとなります。

resources[
    {
        "basePath" : "/ecl-nova",
        "ipAddress" : "*",
        "path" : "*",
        "verb" : "*"
    }
]

c.1つのIAMグループに複数のIAMロールが紐付いている場合

1つのIAMグループに複数のIAMロールが紐付いている場合、それらのIAMロールは AND 条件となります。

以下のような条件のIAMロールをそれぞれ別に作成します。

これらのIAMロールを1つのIAMグループに紐付けた場合、このIAMグループに属するユーザーは管理機能の全てのAPIかつ全てGETのAPI、つまり管理機能のGETのみが実行可能なユーザーとなります。

resources[
    {
        "basePath" : "/ecl-sss",
        "ipAddress" : "*",
        "path" : "*"
    }
]

resources[
    {
        "verb" : "GET"
    }
]

注釈

AND条件を設定する場合、2つのIAMロールどちらかにbasePath、ipAddress、path、verbのパラメータが定義されていなければなりません。

目次

• 1. はじめに
  • 1.1. チュートリアルについて
  • 1.2. 事前に準備いただくもの
• 2. 共通機能
• 3. セルグループの操作方法
  • 3.1. セルグループの新規追加
  • 3.2. セルグループの詳細表示
  • 3.3. セルグループの設定変更
  • 3.4. セルグループの高度な設定変更
  • 3.5. 証明書のダウンロード
  • 3.6. 証明書の再発行
  • 3.7. コンフィグ反映
  • 3.8. セルグループの削除
  • 3.9. 優先セル設定の新規追加
  • 3.10. 優先セル設定の詳細表示
  • 3.11. 優先セル設定の設定変更
  • 3.12. 優先セル設定の削除
  • 3.13. ログ転送設定の新規追加
  • 3.14. ログ転送設定の変更
  • 3.15. ログ転送設定の削除
• 4. セルの操作方法
  • 4.1. セルの新規追加
  • 4.2. セルの詳細表示
  • 4.3. セルの設定変更
  • 4.4. FIC-Connection作成
  • 4.5. FIC-Connection接続
  • 4.6. FIC-Connection切断
  • 4.7. FIC-Connection削除
  • 4.8. セルの削除
  • 4.9. セルのバージョン変更手順
  • 4.10. セルのプラン変更手順
• 5. セキュリティポリシールールの設定方法
  • 5.1. セキュリティポリシールールの新規追加
  • 5.2. セキュリティポリシールールの詳細表示
  • 5.3. セキュリティポリシールールの設定変更
  • 5.4. セキュリティポリシールールの削除
  • 5.5. セキュリティポリシールールの優先度変更
• 6. 詳細の設定方法
  • 6.1. アンチスパイウェア例外の新規追加
  • 6.2. アンチスパイウェア例外の設定変更
  • 6.3. アンチスパイウェア例外の削除
  • 6.4. SSL復号除外ルールの新規追加
  • 6.5. SSL復号除外ルールの詳細表示
  • 6.6. SSL復号除外ルールの設定変更
  • 6.7. SSL復号除外ルールの削除
  • 6.8. SSL復号除外ルールのアクション変更
• 7. モニタリングの設定・確認方法
  • 7.1. セルステータスの確認方法
  • 7.2. セルメトリクスの確認方法
  • 7.3. セキュリティログの確認方法
• 8. アラート通知機能の設定方法
  • 8.1. アラート通知先メールアドレスの設定方法
  • 8.2. ログアラートの設定方法
  • 8.3. メトリクスアラートの設定方法
• 9. カスタムURLカテゴリ設定
  • 9.1. カスタムURLカテゴリ設定の新規追加
  • 9.2. カスタムURLカテゴリの詳細表示
  • 9.3. カスタムURLカテゴリの設定変更
  • 9.4. カスタムURLカテゴリの設定削除
• 10. URLフィルタリングプロファイル設定
  • 10.1. URLフィルタリングプロファイル設定の新規追加
  • 10.2. URLフィルタリングプロファイルの詳細表示
  • 10.3. URLフィルタリングプロファイルの設定変更
  • 10.4. URLフィルタリングプロファイルの設定削除
• 11. AD連携設定
  • 11.1. Active Directoryの利用有無変更
  • 11.2. Active Directoryサーバー連携の設定表示
  • 11.3. 連携先Active Directoryサーバー設定の新規追加
  • 11.4. 連携先Active Directoryサーバーの設定表示
  • 11.5. 連携先Active Directoryサーバーの設定変更
  • 11.6. 連携先Active Directoryサーバーの設定削除
  • 11.7. User-ID Agent連携設定の新規追加
  • 11.8. User-ID Agent連携の設定変更
  • 11.9. User-ID Agent連携の設定削除
  • 11.10. SAML Identity Provider Configの新規追加
  • 11.11. SAML Identity Provider Configの詳細表示
  • 11.12. SAML Identity Provider Configの設定変更
  • 11.13. SAML Identity Provider Configの設定削除
  • 11.14. Captive Portal連携の設定変更
  • 11.15. Captive Portal連携の設定表示
  • 11.16. Captive Portal除外設定の新規追加
  • 11.17. Captive Portal除外設定の詳細表示
  • 11.18. Captive Portal除外の設定変更
  • 11.19. Captive Portal除外の設定削除
• 12. 操作履歴
  • 12.1. 操作履歴
• 13. エラー発生時の対応
  • 13.1. エラー発生時の対応
• 14. その他
  • 14.1. チケットシステムの操作方法
  • 14.2. 改訂履歴

---