tencent cloud

Cloud Access Management

プロダクトの概要
CAMの概要
製品機能
適用シーン
基本概念
使用制限
ユーザータイプ
購入ガイド
クイックスタート
管理者ユーザーを作成する
サブアカウントの作成と権限付与
サブアカウントのコンソールログイン
ユーザーガイド
概要
ユーザー
アクセスキー
ユーザーグループ
ロール
アイデンティティプロバイダー
ポリシー
権限境界
トラブルシューティング
セキュリティ分析レポートのダウンロード
CAM-Enabled Role
Overview
Compute
Container
Microservice
Essential Storage Service
Data Process and Analysis
Data Migration
Relational Database
Enterprise Distributed DBMS
NoSQL Database
Database SaaS Tool
Database SaaS Service
Networking
CDN and Acceleration
Network Security
Data Security
Application Security
Domains & Websites
Big Data
Middleware
Interactive Video Services
Real-Time Interaction
Media On-Demand
Media Process Services
Media Process
Cloud Real-time Rendering
Game Services
Cloud Resource Management
Management and Audit Tools
Developer Tools
Monitor and Operation
More
CAM-Enabled API
Overview
Compute
Edge Computing
Container
Distributed cloud
Microservice
Serverless
Essential Storage Service
Data Process and Analysis
Data Migration
Relational Database
Enterprise Distributed DBMS
NoSQL Database
Database SaaS Tool
Networking
CDN and Acceleration
Network Security
Endpoint Security
Data Security
Business Security
Application Security
Domains & Websites
Office Collaboration
Big Data
Voice Technology
Image Creation
Tencent Big Model
AI Platform Service
Natural Language Processing
Optical Character Recognition
Middleware
Communication
Interactive Video Services
Real-Time Interaction
Stream Services
Media On-Demand
Media Process Services
Media Process
Cloud Real-time Rendering
Game Services
Education Sevices
Medical Services
Cloud Resource Management
Management and Audit Tools
Developer Tools
Monitor and Operation
More
実践のチュートリアル
セキュリティの実践チュートリアル
複数アイデンティティ権限管理
Tag下の一部操作権限を付与する
従業員間のリソース分離アクセスのサポート
企業マルチアカウント権限管理
従業員のTencent Cloud操作ログを閲覧する
ABACによる従業員のリソースアクセス権限管理
タグ認証時にタグキーのみマッチをサポート
商用事例
MySQL関連ケース
CLB 関連ケース
CMQ関連ケース
COS 関連ケース
CVM関連ケース
VPC 関連ケース
VOD関連ケース
その他のケース
よくあるご質問
ロール関連問題
キー関連の問題
その他の問題
CAMユーザーと権限の問題
用語一覧
ドキュメントCloud Access Managementユーザーガイド権限境界

権限境界

PDF
フォーカスモード
フォントサイズ
最終更新日: 2025-12-29 18:00:33

概念

権限境界は、Tencent Cloudがサブアカウント/ロールに対して権限の境界を設定するための高度な機能です。サブアカウント/ロールの権限境界を設定した場合、当該サブアカウント/ロールは、サブアカウント/ロールに紐付けられたポリシーとその権限境界が同時に許可する操作のみ実行可能です。権限境界はサブアカウント/ロールが持つ最大権限範囲を制限するのみで、サブアカウント/ロールに紐付けられる権限の設定には使用できません。詳細な評価ロジックは以下の図を参照してください:


使用シナリオ

プリセットポリシーまたはカスタムポリシーを使用して、サブアカウント/ロールに権限を設定できます。このポリシーはサブアカウント/ロールの最大権限です。このドキュメントは、典型的なケースを通じて、権限境界を使用してサブアカウントの最大権限を設定する方法を簡単に理解していただけます。 例として、会社のTencent Cloudリソース管理者が運用保守担当者に権限を設定する必要があり、以下の要件を満たす必要があります。
会社には2名の運用保守担当者がおり、それぞれがニックネームtest1、test2のサブアカウントを持っています。
サブアカウント test1 を持つ従業員は、マスターアカウント配下のTencentDB for MySQLのすべての権限を管理する権限のみを必要とします。
サブアカウント test2 を持つ従業員は、マスターアカウント配下のインスタンス ID ins-1 のサーバー操作権限の管理のみ必要とします。
会社の規定では、すべてのサブアカウントによるマスターアカウント配下のCloud Virtual Machine (CVM)およびTencentDB for MySQLに対するすべての関連操作は、会社の所在ネットワークセグメント(10.217.182.3/24 または 111.21.33.72/24)内で行わなければなりません。

操作手順

サブアカウント test1 の権限設定

1. 会社の管理者アカウントにログインし、ユーザーリストページに移動します。
2. ユーザーリストページで、ニックネームが test1 のサブアカウントを見つけ、ユーザーニックネームをクリックしてユーザー詳細ページに移動します。
3. 権限-権限ポリシー操作欄で、関連付けをクリックし、QcloudCDBFullAccessポリシーにチェックを入れて、サブアカウント test1 にTencentDB for MySQLのすべての権限を設定します。
4. 権限-権限境界操作欄で、境界設定をクリックし、権限境界設定ページに移動します。
5. 権限境界設定ページで、新規カスタムポリシーをクリックし、新規カスタムポリシーページに移動します。
6. 新規カスタムポリシーページで、ポリシー名を「policygen-1」に設定します。
7. 可視化ポリシージェネレータ欄で、以下の情報を追加するためにチェックを入れます。
効果(Effect):「許可」を選択します。
サービス(Service):「TencentDB for MySQL」を選択します。
操作(Action):「すべての操作」を選択し、確定をクリックします。
リソース(Resource):デフォルトですべてのリソース(*)です。
条件(Condition):ソースIPにチェックを入れ、IP値に「10.217.182.3/24,111.21.33.72/24」を入力します。
8. 作成をクリックし、権限境界設定ページに移動します。
9. 権限境界設定ページで、ポリシーリストの操作欄で作成したカスタムポリシーにチェックを入れます。
10. 境界設定をクリックし、サブアカウント test1 の権限設定が完了します。

サブアカウント test 2 の権限設定

1. 会社管理者アカウントにログインし、以下のポリシー構文を参考にポリシー名 policygen-2 のカスタムポリシー構文を作成します。操作手順はポリシー構文に基づく作成を参照してください。
{
 "version": "2.0",
 "statement": [
     {
         "effect": "allow",
         "resource": [
             "qcs::cvm:gz::instance/ins-1"
         ],
         "action": [
             "name/cvm:*"
         ]
     }
 ]
}
2. ユーザーリストページで、ニックネームが test2 のサブアカウントを見つけ、ユーザーニックネームをクリックしてユーザー詳細ページに移動します。
3. 権限-権限ポリシー操作欄で、関連付けをクリックし、policygen-2ポリシーにチェックを入れて、サブアカウント test2 にCVM ins-1の操作権限を設定します。
4. 権限-権限境界操作欄で、境界設定をクリックし、権限境界設定ページに移動します。
5. 権限境界設定ページで、新規カスタムポリシーをクリックし、新規カスタムポリシーページに移動します。
6. 新規カスタムポリシーページで、ポリシー名を「policygen-3」に設定します。
7. 可視化ポリシージェネレータ欄で、以下の情報を追加するためにチェックを入れます。
効果(Effect):「許可」を選択します。
サービス(Service):「CVM」を選択します。
操作(Action):「すべての操作」を選択し、確定をクリックします。
リソース(Resource):デフォルトですべてのリソース(*)です。
条件(Condition):ソースIPにチェックを入れ、IP値に「10.217.182.3/24,111.21.33.72/24」を入力します。
8. 作成をクリックし、権限境界設定ページに移動します。
9. 権限境界設定ページで、ポリシーリストの操作欄で policygen-3 ポリシーにチェックを入れます。
10. 境界設定をクリックし、サブアカウント test2 の権限設定が完了します。
前の記事へ: ポリシーアナライザ次の記事へ: 故障フィードバックに基づくポリシー作成方法

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック