tencent cloud

Marketplace

製品アップデート
プロダクト概要
プロダクト概要
アプリケーションダッシュボードの紹介
購入ガイド
ユーザーガイド
初心者ガイド
アプリストアのアプリ利用ガイド
アプリケーションダッシュボード使用ガイド
サービスプロバイダーガイド
リリースプロセスの概要
インストールパッケージの作成と管理
よくある質問
ユーザー関連の問題
Marketplace Policy
プライバシーポリシー
データ処理とセキュリティ契約
Tencent Cloud Marketplace User Agreement
Tencent Cloud Marketplace Products Cooperation Agreement
Tencent Cloud Marketplace End User License Agreement(Standard Version)
Marketplace Product Cancellation and Refund Rules
お問い合わせ
用語一覧
ドキュメントMarketplaceサービスプロバイダーガイドインストールパッケージの作成と管理アプリケーションアクセスポリシーの定義

アプリケーションアクセスポリシーの定義

PDF
フォーカスモード
フォントサイズ
最終更新日: 2026-02-04 14:24:01

概要

Marketplaceは、ソフトウェアプロセスがランタイムロールでクラウドAPIを呼び出すをサポートします。このロールの権限ポリシーを定義することで、プロセスが保有するクラウド権限をきめ細かく制御し、お客様の権限管理ニーズを満たします。典型的なシナリオ:
ソフトウェア LICENSE の状態を確認します。
アプリケーション内でオブジェクトストレージ COS バケットにアクセスする際、指定されたストレージバケット(例えば、ユーザーがインストール時に選択したストレージバケット)のみにアクセスを制限します。
アプリケーション内で稼働リソースのヘルスチェックを実施し、障害ノードを自動で再起動します。

ソリューションの説明

package.yamlファイルで権限ポリシーの構文を定義するだけで、アプリケーションの権限範囲を制御できます。

宣言方式

package.yaml ファイル内で role.policy により権限ポリシーを宣言します。構文は CAM 権限ポリシーと同一です。詳細は CAM 権限ポリシー構文構造 を参照してください。以下は例です:
args:
  - name: app_cos
    label: ストレージバケットを選択
    widget: cos-bucket-select

role:
  policy:
    version: "2.0"
    statement:
      # 権限 1:LICENSE 検証に対応する
      - action:
          - cloudapp:VerifyLicense
        resource: "*"
        effect: allow
      
      # 権限2:アプリケーションインスタンスのTagの下のCVMの再起動をサポートする
      - action:
          - cvm:RebootInstances
        resource: "*"
        condition:
          "for_any_value:string_equal":
             "qcs:tag":
                #VALUE!
        effect: "allow"
      
      # 権限 3:インストール時に選択した COS バケットへのアクセスをサポートする
      - action:
          #VALUE!
        resource:
          #VALUE!
          #VALUE!
        effect: allow
注意:
role.policy で権限ポリシーを宣言する際は「WYSIWYG」の原則に従い、ランタイムロールが持つ全ての権限は package.yaml で明示的に宣言する必要があります。

ポリシー構文で変数を使用する

ポリシーでは、2種類の変数:システム変数インストールパラメータの使用をサポートしています。上記の例では:
権限2の例では、var.cloudapp_idシステム変数を使用して、Tagによる権限付与を実現します。
権限3のインスタンスでは、var.app_cosインストールパラメータを使用し、リソースレベルの権限付与を実現します。

新しいポリシー構文へのアップグレードを実行する

説明:
新しい権限ポリシー生成スキームは前方互換性があり、従来scopes.cloudAPIを通じて宣言された権限は引き続き有効です。
新しい権限宣言構文はより詳細な権限制御を提供します。新しい宣言構文へのアップグレードを強くお勧めします。role.policyを用いて権限ポリシーを宣言してください。
従来のバージョンでは、ランタイムロールが持つ権限をscopes.cloudAPIで宣言します。例を次に示します:
scopes:
  cloudAPI:
    - cvm:DescribeInstances
以上の宣言構文はアップグレード後、次のとおりです:
role:
  policy:
    version: "2.0"
    statement:
      - action:
          - cvm:DescribeInstances
          - cloudapp:VerifyLicense 
        resource: "*"
        effect: allow
アップグレード中に注意が必要です:
旧バージョンでは、デフォルトでcloudapp:VerifyLicenseインターフェースが権限ポリシーに追加され、明示的な宣言は不要です。新バージョンでは、ランタイムロールの権限には明示的に宣言されたインターフェースのみが含まれます。role.policyにおいてcloudapp:VerifyLicenseを明示的に宣言する必要があります。さもなければ、アプリケーションはLicenseとの連携を行うことができません。
新しい構文を使用した後、元の scopes.cloudAPI フィールドを削除する必要があります。

完全なサンプル

カスタムアプリケーション権限ポリシー のデモ説明をご参照ください 。

前の記事へ: クラウドAPIの呼び出し次の記事へ: License連携

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック