マルチアカウントの権限付与ページで、グループアカウントのディレクトリ構造に基づいて、CAMユーザーの同期を設定し、CAMロールの同期を設定できます。
差異説明
アイデンティティセンターのユーザーは、CAMロールまたはCAMユーザーを通じてアカウントのクラウドリソースにアクセスできます。2つの方式の違いは以下の表の通りです。
|
CAMロール同期の設定 | 企業はグループアカウントのアイデンティティセンターでTencent Cloudにアクセスするユーザーを管理し、権限設定とCAMロールの同期を通じて、ユーザーがシングルサインオン方式でメンバーアカウント内のCAMロールにログインし、そのメンバーアカウントのクラウドリソースにアクセスすることができます。 | CAMロール同期を設定する際、アイデンティティセンターは各トリプル(ユーザー-アカウント-権限設定)に対してタスクを開始します。 同期後、CAMにおけるアクセス権限は確定済みであり、かつCAMでは変更不可です。 | |
CAMユーザー同期設定 | 企業はグループアカウントのアイデンティティセンターでTencent Cloudにアクセスするユーザーを管理し、CAMユーザー同期の設定を通じて、ユーザーがメンバーアカウント内のCAMユーザーにログインし、そのメンバーアカウントのクラウドリソースにアクセスすることができます。 | CAMユーザー同期を設定する際、アイデンティティセンターは各二元組(ユーザー-アカウント)に対してタスクを開始します。 同期後、CAMにおけるアクセス権限は空であり、CAMで設定する必要があります。 | |
CAMロール同期の説明
複数のアカウント、複数のアイデンティティ、および複数のアクセス設定に対して一括で権限を付与したい場合、TCO > アイデンティティセンターのマルチアカウント権限管理ページに移動し、アカウントのディレクトリツリーを参照して以下の操作を行うことができます: 1. アカウントツリーで一つまたは複数のアカウントを選択し、権限付与の対象とします。
2. 一つまたは複数のアイデンティティセンターアイデンティティを選択します。
3. 一つまたは複数のアクセス設定を選択します。
4. CAMロール同期の設定をクリックすると、アイデンティティセンターサービスが一括で権限を付与します。
バッチ権限付与では、既に存在する一部のバッチ権限付与に対して重複して権限付与を行うと、操作が失敗します。ただし、同一バッチ内の新規権限付与は操作が成功します。
権限を追加するたびに、アイデンティティセンターは各三元組(アイデンティティ-アカウント-権限設定)に対して非同期タスクを開始します。
CAMユーザー同期の説明
複数のアカウントおよび複数のアイデンティティに対して一括権限付与を行う場合は、TCO > アイデンティティセンターの複数アカウント権限管理ページに移動し、アカウントディレクトリツリーを参照して以下の操作を行います: 1. アカウントディレクトリツリーで一つまたは複数のアカウントを選択します。
2. 一つまたは複数のアイデンティティセンターアイデンティティを選択します。
3. 「CAMユーザー同期」の設定をクリックすると、アイデンティティセンターサービスが一括で同期を完了します。
バッチ同期では、既に存在する一部の同期に対して重複操作を行う場合、操作が失敗します。ただし、同一バッチ内の新規同期は操作が成功します。
設定が成功すると、ターゲットアカウントにアイデンティティセンターのユーザーと同じ名前のCAMユーザーが作成されます。
権限付与:ターゲットアカウントにアクセスし、前のステップで作成したCAMユーザーに権限を付与します。
CAMユーザーはデフォルトでいかなる権限も持ちませんので、対応するリソースへの権限を付与する必要があります。
アイデンティティセンターのユーザーは、CAMユーザーとしてターゲットアカウント内の権限のあるリソースにアクセスします。