tencent cloud

Cloud Virtual Machine

最新情報とお知らせ
製品情報
パブリックイメージの更新情報
OSの公式サポート終了計画
製品に関するお知らせ
製品概要
CVM概要
製品の強み
基本概念
リージョンとゾーン
初心者ガイド
Service Regions and Service Providers
製品の課金
課金概要
課金モデル
課金項目
課金モデルの変更
購入インスタンス
仕様変更の料金説明
料金未払いに関する説明
クイックスタート
カスタム設定によるLinuxインスタンスの購入
カスタム設定によるWindowsインスタンスの購入
ユーザーガイド
操作ガイド一覧
ご利用制限一覧
インスタンス
スポットインスタンス
リザーブドインスタンス
イメージ
ストレージ
バックアップと復元
ネットワーク
セキュリティ
パスワード/キー
監視とアラート
運用管理
便利な機能
サーバー移行
オンライン移行
オフライン移行
移行に関するご相談
トラブルシューティング
CVMインスタンスにログインできない原因や対処法
Windowsインスタンスのログインに関する障害
Linuxインスタンスのログインに関する障害
その他のインスタンスログインに関する障害
インスタンス実行時の障害
Linuxインスタンスのメモリに関する障害
ネットワーク障害
実践チュートリアル
CVMの選定ガイド
環境構築
ウェブサイトの構築
アプリケーションの構築
可視化ページの構築
ローカルファイルをCVMへアップロード
ネットワークパフォーマンステスト
その他の実践チュートリアル
API リファレンス
History
Introduction
API Category
Making API Requests
Region APIs
Instance APIs
Cloud Hosting Cluster APIs
Image APIs
Instance Launch Template APIs
Placement Group APIs
Key APIs
Security Group APIs
Network APIs
Data Types
Error Codes
セキュリティとコンプライアンス
Cloud Access Management(CAM)
ネットワーク
よくあるご質問
リージョンとアベイラビリティゾーンに関するご質問
課金クラス
インスタンスに関するご質問
ストレージに関するご質問
イメージに関するご質問
サーバー移行について
ネットワークに関するご質問
セキュリティに関するご質問
OSに関するご質問
運用と監視に関するご質問
CAMに関するご質問
NTPサービスに関するご質問
適用シナリオに関するご質問
Agreements
CVM Service Level Agreements
Red Hat Enterprise Linux Image Service Agreement
Public IP Service Level Agreement
用語集
ドキュメントCloud Virtual MachineセキュリティとコンプライアンスCloud Access Management(CAM)CAMの例

CAMの例

PDF
フォーカスモード
フォントサイズ
最終更新日: 2022-05-26 18:53:47

操作シナリオ

Cloud Access Management(CAM)ポリシーを利用して、Cloud Virtual Machine(CVM)のコンソールで特定リソースの確認・利用権限をユーザーに付与します。本ドキュメントは特定リソースの確認・利用権限を例として、コンソールの特定部分のポリシーの利用方法をユーザーに提供します。

操作事例

CVM の完全な読み書きポリシー

CVM インスタンスを作成・管理する権限をユーザーに持たせることを希望する場合、このユーザーにQcloudCVMFullAccess のポリシーを利用させます。このポリシーはユーザーに CVM、VPC(Virtual Private Cloud)、CLB(Cloud Load Balance)と MONITOR のすべてのリソースの操作権限を持たせることにより、この目標を達成します。 具体的な操作手順は下記の通り: 権限付与管理 を参照して、プリセットポリシー QcloudCVMFullAccess をユーザーに認証します。

CVM の読取専用ポリシー

ユーザーに CVM インスタンスのクエリー権限を持たせて作成、削除、起動/シャットダウン権限を持たせないことを希望する場合、ユーザーにQcloudCVMInnerReadOnlyAccess のポリシーを利用させます。このポリシーはユーザーに別々で次の操作によって目標を達成します、CVMですべて単語「Describe」を始まる操作とすべて単語「Inquiry」を始まる操作に操作権限を持たせます。具体的な操作手順は下記の通り: 権限付与管理 を参照して,プリセットポリシー QcloudCVMInnerReadOnlyAccess をユーザーに認証します。

CVM 関連リソースの読取専用ポリシー

ユーザーに CVMインスタンス及び関連リソース(VPC 、CLB)へのクエリー権限だけ持たせて作成、削除、起動/シャットダウンなど操作権限を持たせないことを希望する場合、このユーザーにQcloudCVMReadOnlyAccess のポリシーを利用させます。このポリシーはユーザーに次の操作権限を持たせることにより、この目標を達成します。
CVM で単語「Describe」を始まるすべての操作と単語 「Inquiry」を始まるすべての操作。
VPC で単語 「Describe」を始まるすべての操作、単語 「Inquiry」を始まるすべての操作と単語「Get」を始まるすべての操作。
CLB で単語「Describe」を始まるすべての操作。
Monitor ですべての操作。
具体的な操作手順は下記の通り: 権限付与管理 を参照して,プリセットポリシー QcloudCVMReadOnlyAccess をユーザーに認証します。

Elastic Cloud Block Storage関連のポリシー

CVM コンソールのCloud Block Storage情報を表示できるようにし、CBSの作成・利用などの権限をユーザーに持たせることを希望する場合、まず下記の操作をポリシーに追加してから、またこのポリシーをユーザーに関連することによって実現できます。
CreateCbsStorages:CBSを作成します。
AttachCbsStorages:指定されたElastic CBSを指定されたCVMにマウントします
DetachCbsStorages:指定されたElastic CBSをアンマウントします。
ModifyCbsStorageAttributes:指定されたCBSの名称或いは項目 ID を修正します。
DescribeCbsStorages:CBSの詳細情報をクエリーします。
DescribeInstancesCbsNum:CVMにマウント済のElastic CBSの数量とマウントできるElastic CBS数量の合計をクエリーします。
RenewCbsStorage:指定されたElastic CBSを更新します。
ResizeCbsStorage:指定されたElastic CBSをスケールアウトします。
具体的な操作手順は下記の通り:
1. ポリシー に基づいて、CVM コンソール内のCBS情報を確認するとCBSを作成・利用するなどの権限のカスタマイズポリシーを作成します。 ポリシー内容は下記のポリシー文法を参照して設定できます:
{
 "version": "2.0"
 "statement": [
     {
         "effect": "allow"
         "action": [
             "name/cvm:CreateCbsStorages"
             "name/cvm:AttachCbsStorages"
             "name/cvm:DetachCbsStorages"
             "name/cvm:ModifyCbsStorageAttributes"
             "name/cvm:DescribeCbsStorages"
         ],
         "resource": [
             "qcs::cvm::uin/1410643447:*"
         ]
     }
 ]
}
2. 作成したポリシーを検索し、このポリシー行の「操作」列で、ユーザ/グループの関連をクリックします。 3.ポップアップされた「ユーザー/ユーザグループの関連」ウィンドウで、権限付与必要なユーザ/グループを選択し、OKをクリックします。

セキュリティグループの関連ポリシー

ユーザーがCVM コンソールのセキュリティグループを確認・利用できることを希望する場合、下記の操作をポリシーに追加してから、このポリシーをユーザーに関連することによって実現できます。
DeleteSecurityGroup:セキュリティグループを削除します。
ModifySecurityGroupPolicys:セキュリティグループのすべてのポリシーを置き換えます。
ModifySingleSecurityGroupPolicy:セキュリティグループの単一ポリシーを修正します。
CreateSecurityGroupPolicy:セキュリティグループポリシーを作成します。
DeleteSecurityGroupPolicy:セキュリティグループポリシーを削除します。
ModifySecurityGroupAttributes:セキュリティグループの属性を修正します。
具体的な操作手順は下記の通り:
1. ポリシー に基づいて、ユーザーが CVM コンソールでセキュリティグループの作成、削除、修正などの権限を持つことを可能にするのカスタマイズポリシーを作成します。 ポリシー内容は下記のポリシー文法を参照して設定できます:
{
"version": "2.0"
"statement": [
    {
        "action": [
            "name/cvm:ModifySecurityGroupPolicys"
            "name/cvm:ModifySingleSecurityGroupPolicy"
            "name/cvm:CreateSecurityGroupPolicy"
            "name/cvm:DeleteSecurityGroupPolicy"
        ],
        "resource": "*"
        "effect": "allow"
    }
]
}
2. 作成したポリシーを検索し、このポリシー行の「操作」列で、ユーザ/グループの関連をクリックします。
3. ポップアップされた「ユーザー/ユーザグループの関連」ウィンドウで、権限付与必要なユーザ/グループを選択し、OKをクリックします。

Elastic IPアドレスの関連ポリシー

ユーザーが CVM コンソールでElastic IPアドレスを確認・利用できることを希望する場合、まず下記の操作をポリシーに追加してから、このポリシーをユーザーに関連することによって実現できます。
AllocateAddresses:アドレスを VPC 又は CVM にアサインします。
AssociateAddress:Elastic IPアドレスをインスタンス或いはネットワークインターフェースに関連します。
DescribeAddresses: CVM コンソールのElastic IP アドレスを確認します。
DisassociateAddress:Elastic IPアドレスは、インスタンス或いはネットワークインターフェースの関連を取り消します。
ModifyAddressAttribute:Elastic IPアドレスの属性を修正します。
ReleaseAddresses:Elastic IPアドレスを解除します。
具体的な操作手順は下記の通り:
1. ポリシー に基づいて、カスタマイズポリシーを作成します。 このポリシーはユーザーが CVM コンソールでElastic IPアドレスをを表示でき、インスタンスにアサインすること、インスタンスを関連することを許可しますが、Elastic IPアドレスの属性を修正したり、Elastic IPアドレスの関連を解除したり、Elastic IPアドレスの権限をリリースしたりすることはできません、ポリシー内容は下記のポリシー文法を参照して設定できます:
{
"version": "2.0"
"statement": [
    {
        "action": [
            "name/cvm:DescribeAddresses"
            "name/cvm:AllocateAddresses"
            "name/cvm:AssociateAddress"
        ],
        "resource": "*"
        "effect": "allow"
    }
]
}
2. 作成したポリシーを検索し、このポリシー行の「操作」列で、ユーザ/グループの関連をクリックします。
3. ポップアップされた「ユーザ/ユーザグループの関連」ウィンドウで、権限付与必要なユーザ/グループを選択し、OKをクリックします。

ユーザーに特定 CVM への操作権限を付与するポリシー

ユーザーに特定 CVM への操作権限を付与することを希望する場合、下記のポリシーをユーザーに関連することによって実現できます。具体的な操作手順は下記の通り:
1. ポリシーに基づいて、カスタマイズポリシーを作成します。 このポリシーはユーザーに ID が ins-1、リージョンが広州 のCVM インスタンスへの操作権限を持たせることを許可します。ポリシー内容は下記のポリシー文法を参照して設定できます:
{
 "version": "2.0"
 "statement": [
     {
         "action": "cvm:*"
         "resource": "qcs::cvm:ap-guangzhou::instance/ins-1"
         "effect": "allow"
     }
 ]
}
2. 作成したポリシーを検索し、このポリシー行の「操作」列で、ユーザ/グループの関連をクリックします。
3. ポップアップされた「ユーザ/ユーザグループの関連」ウィンドウで、権限付与必要なユーザ/グループを選択し、OKをクリックします。

ユーザーに特定リージョンのCVM への操作権限を付与するポリシー

ユーザーに特定リージョンの CVM への操作権限を付与することを希望する場合、下記のポリシーをユーザーに関連することによって実現できます。具体的な操作手順は下記の通り:
1. ポリシー に基づいて、カスタマイズポリシーを作成します。 このポリシーはユーザーに広州リージョンの CVM への操作権限を持たせることを許可します、ポリシー内容は下記のポリシー文法を参照して設定できます:
{
 "version": "2.0"
 "statement": [
     {
         "action": "cvm:*"
         "resource": "qcs::cvm:ap-guangzhou::*"
         "effect": "allow"
     }
 ]
}
2. 作成したポリシーを検索し、このポリシー行の「操作」列で、ユーザ/グループの関連をクリックします。
3. ポップアップされた「ユーザ/ユーザグループの関連」ウィンドウで、権限付与必要なユーザ/グループを選択し、OKをクリックします。

サブアカウントに CVM のすべての権限を(支払い権限以外)付与する

仮に、企業アカウント(CompanyExample,ownerUin が12345678)が一つのサブアカウント(Developer)があります。このサブアカウントが企業アカウントのCVM サービスに対するすべての権限(例え作成、管理などすべての操作)を持たせることが必要であり、ただし支払い権限は含めません(注文できるが支払いできません)。 下記の二つのソリューションによって実現します:
ソリューション A 企業アカウント CompanyExample は直接プリセットポリシー QcloudCVMFullAccess をサブアカウント Developerに付与します。権限付与方式は 権限付与管理 をご参照ください。
ソリューション B
1.1 下記のポリシー文法に基づいて、カスタマイズポリシー を作成します。
 {
"version": "2.0"
"statement":[
     {
         "effect": "allow"
         "action": "cvm:*"
         "resource": "*"
     }
]
}
1.2 このポリシーをサブアカウントに付与します、権限付与方式は 権限付与管理 をご参照ください。

サブアカウントにプロジェクト管理の操作権限を付与する

仮に、企業アカウント(CompanyExample,ownerUin 为12345678)は一つのサブアカウント(Developer)があります。プロジェクトを基づいてサブアカウントにコンソールでリソース管理権限を付与する必要があります。 具体的な操作手順は下記の通り:
1. 業務権限に基づいてプロジェクト管理のカスタマイズポリシーを作成します 詳細情報は ポリシー をご参照ください。
2. 権限付与管理を 参照して、作成したカスタマイズポリシーをサブアカウントに付与します。 サブアカウントがプロジェクトを管理する時に、権限なしの提示があった場合は、例えば、スナップショット、イメージ、VPC、Elasticパブリックネットワーク IP などの製品を確認する時に権限なしを提示されました。サブアカウントに QcloudCVMAccessForNullProject、QcloudCVMOrderAccess と QcloudCVMLaunchToVPC のプリセットポリシーを付与できます。権限付与方式は権限付与管理をご参照ください。

カスタマイズポリシー

プリセットポリシーが要件を満たせないと予測した場合、カスタマイズポリシーを作成することによって目標を達成します。 具体的な操作手順は ポリシー をご参照ください。 CVM関連のポリシー文法の詳細については、権限付与ポリシー文法 をご参照ください。。
前の記事へ: CAMをサポートするCVM APIインターフェース次の記事へ: 概要

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック