IAMロールとIAMグループについて¶
本機能はIAMロールとIAMグループにより実現されます。IAMロールとIAMグループの紐付け、IAMグループとユーザーの紐付けを行うことで一般ユーザーの実行権限を制御することが可能です。
IAMロール¶
IAMロールはAPIの実行許可やAPI実行の条件などを示すものです。ホワイトリスト形式で記述します。
管理ユーザーは以下のパラメータをリクエストボディのresourcesに設定することにより、IAMロールを設定します。
| basePath | 実行を許可する各APIエンドポイントを指定します。basePathの記述方法は下記の表に示します。 |
| ipAddress | 実行を許可するアクセス元グローバルIPアドレスを指定します。 |
| path | 実行を許可するURLのパスを指定します。 |
| verb | 実行を許可するメソッドを指定します。GET/PUT/POST/PATCH/DELETEの4つが記述可能です。 |
| 任意の要素 | 各APIのクエリパラメータやリクエストボディに含まれる値を指定します。例としては、テナントのIDやユーザーのIDなどです。 |
各パラメータではワイルドカードとして*が使用可能です。
1つのIAMロールのresourcesには複数の権限を記述することが可能です。その場合、条件は OR 条件となります。(詳しくは 権限記述におけるAND・OR条件について を参照)
各APIエンドポイントとbasePathの表記の対応は以下のようになります。
| 機能名 | エンドポイントURL | basePath |
| Keystone | "https://api.ntt.com/keystone" |
/ecl-keystone |
| 管理機能 | "https://api.ntt.com/sss" |
/ecl-sss |
| FIC | "https://api.ntt.com" |
/fic-eri
/fic-monitoring
|
IAMグループ¶
IAMグループはIAMロールをまとめたものものです。ユーザーはIAMグループに属します。ユーザーにはIAMグループに紐付いているIAMロールによる実行権限の制御が適用されます。
IAMグループとユーザーの関係¶
ユーザーはIAMグループに属します。作成された直後のユーザーはデフォルトグループに属します。(デフォルトグループについては、 デフォルトグループとデフォルトロールについて を参照)
ユーザーには、所属IAMグループに紐づくIAMロールの権限が適用されます。管理ユーザーは一般ユーザーに対して、IAMグループへの紐付けと紐付けの解除を行うことが可能です。管理ユーザーは自身の所属グループを変更することはできません。
また、ユーザーは複数のIAMグループに属することが可能です。複数のIAMグループに属するユーザーは各IAMグループの OR 条件が適用されます。(詳しくは 権限記述におけるAND・OR条件について を参照)
警告
どのグループにも属していないユーザーは Smart Data Platform の操作を行うことができません。
IAMグループとIAMロールの関係¶
IAMロールもユーザーと同様IAMグループに属します。IAMグループに属しているユーザーはそのIAMグループに紐づくIAMロールによって実行権限が制御されます。管理ユーザーはIAMロールとIAMグループの紐付けと紐付けの解除を行うことが可能です。
IAMロールは複数のIAMグループに紐付けることができます。ある1つのグループに複数のIAMロールが紐づく場合、それらのIAMロールには AND 条件が適用されます。(詳しくは 権限記述におけるAND・OR条件について を参照)
また、初期状態ではデフォルトロールが用意されています。(デフォルトロールについては、 デフォルトグループとデフォルトロールについて を参照)