tencent cloud

Cloud Access Management

プロダクトの概要
CAMの概要
製品機能
適用シーン
基本概念
使用制限
ユーザータイプ
購入ガイド
クイックスタート
管理者ユーザーを作成する
サブアカウントの作成と権限付与
サブアカウントのコンソールログイン
ユーザーガイド
概要
ユーザー
アクセスキー
ユーザーグループ
ロール
アイデンティティプロバイダー
ポリシー
権限境界
トラブルシューティング
セキュリティ分析レポートのダウンロード
CAM-Enabled Role
Overview
Compute
Container
Microservice
Essential Storage Service
Data Process and Analysis
Data Migration
Relational Database
Enterprise Distributed DBMS
NoSQL Database
Database SaaS Tool
Database SaaS Service
Networking
CDN and Acceleration
Network Security
Data Security
Application Security
Domains & Websites
Big Data
Middleware
Interactive Video Services
Real-Time Interaction
Media On-Demand
Media Process Services
Media Process
Cloud Real-time Rendering
Game Services
Cloud Resource Management
Management and Audit Tools
Developer Tools
Monitor and Operation
More
CAM-Enabled API
Overview
Compute
Edge Computing
Container
Distributed cloud
Microservice
Serverless
Essential Storage Service
Data Process and Analysis
Data Migration
Relational Database
Enterprise Distributed DBMS
NoSQL Database
Database SaaS Tool
Networking
CDN and Acceleration
Network Security
Endpoint Security
Data Security
Business Security
Application Security
Domains & Websites
Office Collaboration
Big Data
Voice Technology
Image Creation
Tencent Big Model
AI Platform Service
Natural Language Processing
Optical Character Recognition
Middleware
Communication
Interactive Video Services
Real-Time Interaction
Stream Services
Media On-Demand
Media Process Services
Media Process
Cloud Real-time Rendering
Game Services
Education Sevices
Medical Services
Cloud Resource Management
Management and Audit Tools
Developer Tools
Monitor and Operation
More
実践のチュートリアル
セキュリティの実践チュートリアル
複数アイデンティティ権限管理
Tag下の一部操作権限を付与する
従業員間のリソース分離アクセスのサポート
企業マルチアカウント権限管理
従業員のTencent Cloud操作ログを閲覧する
ABACによる従業員のリソースアクセス権限管理
タグ認証時にタグキーのみマッチをサポート
商用事例
MySQL関連ケース
CLB 関連ケース
CMQ関連ケース
COS 関連ケース
CVM関連ケース
VPC 関連ケース
VOD関連ケース
その他のケース
よくあるご質問
ロール関連問題
キー関連の問題
その他の問題
CAMユーザーと権限の問題
用語一覧
ドキュメントCloud Access Managementユーザーガイドロールロールの使用

ロールの使用

PDF
フォーカスモード
フォントサイズ
最終更新日: 2025-12-29 17:59:07

操作シナリオ

Tencent Cloudは、お客様がコンソールとAPIの2つの方法でロールを使用することをサポートします。本ドキュメントは、典型的なケースを使って、お客様にロールの使用方法を簡単に理解していただきます。

前提条件

以下の条件が存在すると仮定します:
会社Aは運用保守エンジニアのポジションを持っており、会社Bにアウトソーシングされており、そのポジションが会社Aの広州リージョンにあるすべてのCloud Virtual Machine (CVM)リソースを操作できることを希望しています。
会社Aの企業アカウント CompanyExampleA の ownerUin は 12345 です。
会社Bの企業アカウント CompanyExampleB の ownerUin は 67890 です。
会社Bはサブアカウント DevBを持っており、DevBによってこの作業を完了することを希望しています。

操作手順

以下のタブをクリックして、対応する操作説明を閲覧できます。
コンソールによるロールの使用
APIによるロール使用
1. 会社Aが会社Bのためにロールを作成します(ロール作成を参照)。 Tencent Cloudアカウントをロール担い手として選択し、DevOpsRoleなどのロールを作成します。ロール担い手を会社Bの企業アカウント「67890」に設定し、DevOpsRoleロールに会社Aの広州リージョンにあるすべてのCVMリソースを操作可能な権限を付与します。
2. 会社Bは会社Bのサブアカウントに権限付与を行います(サブアカウントにロール引き受けポリシーを付与を参照)。 会社BのサブアカウントDevBに、会社A(ownerUinが12345)のDevOpsRoleロールを引き受け可能なポリシーを付与します。これには「sts:AssumeRole」インターフェース権限を含める必要があります。
3. 会社Bのサブアカウントがロールを使用してコンソールにログインします。 会社BのサブアカウントDevBがコンソールにログインし、コンソールのアバターのドロップダウンメニューで「ロール切り替え」を選択し、ロール切り替えページに進みます。 会社Aのメインアカウント「12345」とロール名「DevOpsRole」を入力し、確定後、会社A(ownerUinが12345)のDevOpsRoleロールに切り替わります。 同様に、他のロールに切り替える必要がある場合、コンソールのアバターのドロップダウンメニューで「ロール切り替え」を選択し、ロール切り替えページで他のロールに切り替えることができます。 コンソールでロール切り替えログイン後、元のサブユーザーに戻る場合、コンソールのアバターのドロップダウンメニューで「サブユーザーに戻る」を選択すると、ロールを終了し元のサブユーザーに戻ります。
注意:
サブアカウントは権限付与されたロールのみ切り替え可能であり、かつロール担い手がクラウドアカウントである場合に限ります。その他の権限付与されていないロールは切り替えできません。

会社AはAPIによる作成ドキュメントを参照し、以下の操作を行います。
1. ロールを作成し、ロール担い手を会社Bの企業アカウントCompanyExampleBに設定します。
2. CreateRoleインターフェースを呼び出して、ロール名(roleName)をDevOpsRoleとして作成し、当該ロールに会社Aの広州リージョンにあるすべてのCVMリソースを操作可能な権限を付与します。
会社Bはサブアカウントにロール引き受けポリシーを付与ドキュメントを参照し、以下の操作を実行します:
1. サブアカウントDevBにCompanyExampleAのDevOpsRoleロールを引き受ける権限を付与します。
2. AssumeRoleインターフェースを呼び出し、ロールDevOpsRoleの一時的な証明書を申請します。入力パラメータは以下の通りです:
説明:
会社B(CompanyExampleB)が会社A(CompanyExampleA)のリソースを直接操作したい場合、ロールの一時的な証明書を申請することで操作を行うことも可能です。
roleArn=qcs::cam::uin/12345:roleName/DevOpsRole,
roleSessionName=DevBAssumeTheRole,
durationSeconds=7200
もしインターフェースの実行が成功した場合、返却結果は以下の通りとなります:
{
    "credentials": {
        "sessionToken": "5e776c4216ff4d31a7c74fe194a978a3ff2a42864",
        "tmpSecretId": "AKI***PCl",
        "tmpSecretKey": "Vpx***MqD"
    },
    "expiredTime": 1506433269,
    "expiration": "2018-09-26T13:41:09Z"
}
3. 有効期間内に、実際のニーズに基づき、DevBは会社Aに対して権限の範囲内で操作を実行します。 例えば、APIを通じてCVMリストを閲覧する場合、DescribeInstancesインターフェースを呼び出す際に、APIキーSecretIdとSecretKeyの値をtmpSecretIdとtmpSecretKeyの値に置換します。同時に、共通パラメータのTokenをsessionTokenの値に設定します。
注意:
会社Aが会社Bへの権限付与を終了したい場合、ロールDevOpsRoleを削除します。


前の記事へ: ロール変更次の記事へ: ロール削除

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック