Cloud Access Management (CAM)を使用する前に、まずいくつかの関連概念を理解する必要があります。例えば、メインアカウント、サブアカウント、サブユーザー、コラボレーター、ユーザーグループなどです。これらの概念を理解することで、CAM製品をよりよく理解し、使用することができます。
メインアカウント
ユーザーがTencent Cloudアカウントを申請すると、システムはTencent Cloudサービスにログインするためのマスターアカウントを作成します。マスターアカウントは、Tencent Cloudリソースの使用量計測と課金の基本主体です。マスターアカウントは、デフォルトでその配下にあるリソースへの完全なアクセス権限を持ち、サブアカウントを作成し、サブアカウントに権限を設定することができます。
サブアカウント
サブアカウントは、Tencent Cloudで作成される実体であり、確定的なIDと認証情報を持っています。サブユーザー、コラボレーター、およびメッセージ受信者に分類されます。特に、サブユーザーとコラボレーターの違いは、サブユーザーが完全にマスターアカウントに帰属する一方、コラボレーターは事前に登録済みのTencent Cloudマスターアカウントである点にあります。つまり、コラボレーターは2つの実体を持ち、自身のアカウントではマスターアカウントとして、また対応するマスターアカウントではコラボレーターとして切り替えることができます。詳細については、ユーザータイプを参照してください。 管理者ユーザー
管理者ユーザーはAdministratorAccessポリシー権限を持つサブアカウントであり、マスターアカウントまたは他の管理者ユーザーによって作成されます。Tencent Cloudアカウント内のすべてのユーザーとその権限、財務関連情報、およびクラウドサービス資産を管理することができます。
ユーザーグループ
ユーザーグループは、同じ職能を持つ複数のユーザー(サブアカウント)の集合です。業務ニーズに応じて異なるユーザーグループを作成し、ユーザーグループに適切なポリシーを関連付けて、異なる権限を割り当てることができます。
ロール
CAMのロールは仮想ユーザーと理解でき、サブアカウント、コラボレーター、メッセージ受信者といった実体ユーザーとは異なります。ロールにも同様にポリシーを付与できます。
ロールは任意のTencent Cloudアカウントが引き受けることが可能であり、必ずしも特定のアカウントに唯一に紐付けられるわけではありません。ロールには永続的な証明書(パスワードやアクセスキー)が関連付けられておらず、マスターアカウントはロール申請時のみ永続的証明書を必要とします。ユーザーが特定のロールを引き受ける際には、一時的な証明書が動的に作成され、ユーザーが対応するアクセスを行う際にこの一時証明書が提供されます。コンソールとAPIの2つの方法でロールを使用できます。
権限
権限は、特定の条件下で特定の操作の実行やリソースへのアクセスを許可または拒否することを記述するものです。デフォルトでは、マスターアカウントはリソースの所有者であり、その配下のすべてのリソースへのアクセス権限を持っています。サブアカウントはどのリソースへのアクセス権限も持っていません。リソース作成者は、作成したリソースへのアクセス権限を自動的には持っていません。リソース所有者による権限付与が必要です。
ポリシー
ポリシーは、1つまたは複数の権限を定義および記述するためのシンタックス仕様です。Tencent Cloudのポリシータイプはプリセットポリシーとカスタムポリシーに分けられます。
プリセットポリシー
プリセットポリシーはTencent Cloudによって作成および管理され、管理者権限(AdministratorAccess)やCloud Virtual Machine (CVM)フルアクセス権限(QcloudCVMFullAccess)など、ユーザーが高頻度で使用する一般的な権限の集合です。操作対象範囲が広く、操作粒度が粗い特徴があります。プリセットポリシーはシステムで事前設定されており、ユーザーによる編集はできません。
カスタムポリシー
ユーザーが作成する、リソース管理に対するより細かい粒度の権限を記述した権限集合です。きめ細かい権限分割を可能にし、ユーザーの差異化された権限管理ニーズを柔軟に満たします。例えば、あるデータベース管理者にポリシーを関連付けることで、クラウドデータベースインスタンスの管理権限を持たせつつ、CVMインスタンスの管理権限を持たせないようにすることができます。