Cloud Load Balancer(CLB)、CVM、TencentDBなどのサービスを使用する場合、これらのサービスは管理者がそれぞれ異なりますが、いずれの管理者もクラウドアカウントキーを共有するため、次の問題が存在します。
キーが複数の人に共有されるため、機密漏洩リスクが高くなります。
他の人のアクセス権限を制限することはできませんので、誤操作によりセキュリティリスクが発生する可能性があります。
Cloud Access Management(CAM)は、Tencent Cloudアカウント下のリソースへのアクセス権限の管理に用いられます。CAMを使用することで、ID管理とポリシー管理によって、どのサブアカウントにどのリソースの操作権限を与えるかを制御することができます。 例えば、アカウント下に複数のCLBインスタンスがあり、異なるプロジェクトにデプロイされている場合、権限制御を強化し、リソースの権限承認を行うため、プロジェクトAの管理者に権限承認ポリシーをバインドすることができます。このポリシーでは、この管理者だけがプロジェクトA下のCLBリソースを操作できるように規定します。
サブアカウントのCLB関連リソースへのアクセス管理を行う必要がない場合は、このセクションをスキップできます。この部分をスキップしても、ドキュメントのそれ以外の内容の理解と利用には影響しません。
CAMの基本概念
ルートアカウントはサブアカウントにポリシーをバインドすることで権限承認を行います。ポリシーの設定は、**[API、リソース、ユーザー/ユーザーグループ、許可/拒否、条件]**の次元まで精密に行うことができます。
1. アカウント
ルートアカウント
Tencent Cloudのリソースの帰属先であり、リソース使用量の計算と課金における基本主体です。Tencent Cloudサービスにログインできます。
サブアカウント
ルートアカウントが作成するアカウントであり、確実なIDおよびIDクレデンシャルを有し、なおかつTencent Cloudコンソールにログインできます。ルートアカウントは複数のサブアカウント(ユーザー)を作成することができます。サブアカウントはデフォルトではリソースを所有せず、所属するルートアカウントによる権限承認を受ける必要があります。
ID証明書
ログイン証明書とアクセス証明書の2種類があります。ログイン証明書はユーザーのログイン名とパスワードを指し、アクセス証明書はTencent Cloud APIのキー(SecretIdおよびSecretKey)を指します。
2. リソースと権限
リソース
リソースとは、クラウドサービスにおいて操作の対象となるものであり、例えばCVMインスタンス、VPCインスタンスなどがあります。
権限
権限とは、ある何人かのユーザーに対し、あるいくつかの操作の実行を許可または拒否することを指します。デフォルトでは、ルートアカウントはその名前の下にあるすべてのリソースへのアクセス権限を有する一方、サブアカウントにはルートアカウント下の何らかのリソースへのアクセス権限がありません。
ポリシー
ポリシーは、1つまたは複数の権限を定義および説明する構文仕様です。ルートアカウントはユーザー/ユーザーグループにポリシーをバインドすることによって権限承認を行います。
関連ドキュメント