製品概要
サブ製品の説明
基本概念
製品機能
ユースケース
製品の優位性
使用制限
CAMアクセス制御
CSSはCAMアクセス制御を介して権限管理を実行し、アカウントのCSSドメイン名、設定、データ情報の管理に寄与します。またユーザー(グループ)を作成、管理または破棄し、サブユーザー(グループ)に各種のインターフェース権限を付与して、ID管理とポリシー制御を実現できます。
CAMを使用する場合は、ポリシーを1人のユーザーまたは1組のユーザーグループと関連付けて、指定されたリソースを使用して指定されたタスクを完了することを許可または拒否できます。
基本概念
ルートアカウント:登録したTencent Cloudアカウント。
サブユーザー:ルートアカウントを介して作成され、完全にルートアカウントに帰属します。
コラボレーター:ルートアカウントのIDを持ち、現在のルートアカウントのコラボレーターとして追加された、現在のルートアカウントのサブアカウントの1つです。
ユーザーグループ:同一機能のユーザーのために作成されたグループであり、ポリシーによって関連付けられ、統一的な一括承認管理を行うことができます。wooko
説明:
操作手順
手順1:サブユーザー/ユーザーグループの新規作成
ルートアカウントは、特定のロールとポリシーを割り当てるために1つまたは複数のサブユーザーを作成できます。サブユーザーは、確定されたIDとID資格情報を持ち、コンソールにログインして設定を完了できると同時に、APIアクセス権限を持ちます。次の図に示すように、Tencent Cloudコンソールにログインし、CAM ページに移動し、ユーザーを作成できます。
手順2:ユーザー/ユーザーグループにポリシーを追加
ユーザー/ユーザーグループページに入り、ポリシーを追加したいユーザー/ユーザーグループを選択します。
左側の「ユーザー」>「ユーザーリスト」をクリックして、ポリシーを追加するユーザー/ユーザーグループを選択します。右側の「承認」をクリックして、適切なライブストリーミングポリシーを選択し、「OK」をクリックして、正常に追加できます。
左側のユーザー>ユーザーリストまたはユーザーグループをクリックし、ポリシーを追加したいユーザー/ユーザーグループ名をクリックして詳細ページに進みます。ポリシーの関連付けをクリックし、対応するライブストリーミングポリシーを選択して、OKをクリックすれば追加が完了します。
左側のポリシーをクリックし、追加したいポリシーを選択して、操作リストのユーザー/グループの関連づけをクリックします。承認する必要があるユーザーを選択して、OKをクリックすれば追加が完了します。
追加可能なポリシー
システムのプリセットポリシーの追加:左側のサイドバーからポリシーページに入ると、現在のすべてのポリシーの情報を確認できます。
CSSシステムプリセットポリシーは QcloudLIVEFullAccess(全読み取り書き込みポリシー)と QcloudLIVEReadOnlyAccess(読み取り専用ポリシー)です。
タグを使用する必要がある場合は、QcloudTAGFullAccess (タグ(TAG)すべての読み取り/書き込みアクセスポリシー)を承認してください。
リアルタイムログを使用する必要がある場合は、 QcloudCamFullAccess (ユーザーと権限(CAM)のすべての読み取り書き込みアクセスポリシー)を承認してください。
スクリーンキャプチャ・ポルノ検出を使用する場合、QcloudAccessFoLVBRoleInSaveLiveScreenshottoCOS承認が必要です(このポリシーはCSSがCOSリソースにアクセスするため、CSSサービス対象との関連付けに使用されます)。
カスタムポリシーの追加:ポリシーページに入り、カスタムポリシーの新規作成をクリックして、ポリシージェネレーターによる作成を選択します。詳細については、カスタムポリシーをご参照ください。
説明:
現在CSSの一部のインターフェースは、リソースレベルの承認を既にサポートしています。
操作例:DescribeLiveDomainsドメイン名リストの照会**インターフェースをサブユーザーに承認する必要があり、かつ指定ドメイン名にのみ使用できるようにする場合は、下記の手順で設定します。
1. このインターフェースへのアクセスを許可するドメイン名レベルのポリシーを新規作成し、ポリシージェネレーターのポリシー作成ページに移動して、各入力項目を記入します:
を選択する
を選択する
を選択する
をご参照ください。
設定項目 | 入力必須の有無 | 説明 |
効果 | はい | 許可 |
サービス | はい | CSS |
操作 | はい | DescribeLiveDomainsドメイン名リストの照会 |
リソース | はい | 全リソースまたは承認したい特定のリソースを選択 承認粒度が操作レベル、サービスレベルのクラウド製品は、具体的なリソースの六段式の入力をサポートしていません。全リソースを選択します。 承認粒度がリソースレベルのクラウド製品は、特定のリソースを選択できます。リソース説明の方式については、CAMをサポートする製品の中の対応する製品のCAMガイドドキュメントをご参照ください。クラウド製品でサポートする承認粒度については、CAMをサポートする製品の中の承認粒度 |
条件 | いいえ | 上記の承認有効化の条件を設定し、承認する必要があるソースIPを入力すると、指定IPアドレス範囲内からのリクエストの時のみ指定操作へのアクセスが許可されます。またその他の条件を追加してポリシーにさらに制約を加えることも可能です。詳細については、有効化条件をご参照ください。 |
ご注意:
複数のサービス手段をサポートしたい場合は、権限の追加をクリックすれば、複数の承認のステートメントを引き続き追加でき、他のサービスに対しても承認ポリシーを設定できます。
2. 次へをクリックすると、当該ポリシーを生成できます。ポリシーの生成後に、上記の2つの方法でユーザー/ユーザーグループと関連付けすればOKです。
手順3:サブアカウントの使用
サブアカウントID(ルートアカウントによって作成されたサブアカウントIDとパスワード)を使用し、承認されたAPIインターフェース(例:「ドメイン名リストのクエリー」など)を呼び出せば、対応するCSS情報(例:このアカウントのすべてのドメイン名)を取得できます。
フィードバック