tencent cloud

Cloud Access Management

プロダクトの概要
CAMの概要
製品機能
適用シーン
基本概念
使用制限
ユーザータイプ
購入ガイド
クイックスタート
管理者ユーザーを作成する
サブアカウントの作成と権限付与
サブアカウントのコンソールログイン
ユーザーガイド
概要
ユーザー
アクセスキー
ユーザーグループ
ロール
アイデンティティプロバイダー
ポリシー
権限境界
トラブルシューティング
セキュリティ分析レポートのダウンロード
CAM-Enabled Role
Overview
Compute
Container
Microservice
Essential Storage Service
Data Process and Analysis
Data Migration
Relational Database
Enterprise Distributed DBMS
NoSQL Database
Database SaaS Tool
Database SaaS Service
Networking
CDN and Acceleration
Network Security
Data Security
Application Security
Domains & Websites
Big Data
Middleware
Interactive Video Services
Real-Time Interaction
Media On-Demand
Media Process Services
Media Process
Cloud Real-time Rendering
Game Services
Cloud Resource Management
Management and Audit Tools
Developer Tools
Monitor and Operation
More
CAM-Enabled API
Overview
Compute
Edge Computing
Container
Distributed cloud
Microservice
Serverless
Essential Storage Service
Data Process and Analysis
Data Migration
Relational Database
Enterprise Distributed DBMS
NoSQL Database
Database SaaS Tool
Networking
CDN and Acceleration
Network Security
Endpoint Security
Data Security
Business Security
Application Security
Domains & Websites
Office Collaboration
Big Data
Voice Technology
Image Creation
Tencent Big Model
AI Platform Service
Natural Language Processing
Optical Character Recognition
Middleware
Communication
Interactive Video Services
Real-Time Interaction
Stream Services
Media On-Demand
Media Process Services
Media Process
Cloud Real-time Rendering
Game Services
Education Sevices
Medical Services
Cloud Resource Management
Management and Audit Tools
Developer Tools
Monitor and Operation
More
実践のチュートリアル
セキュリティの実践チュートリアル
複数アイデンティティ権限管理
Tag下の一部操作権限を付与する
従業員間のリソース分離アクセスのサポート
企業マルチアカウント権限管理
従業員のTencent Cloud操作ログを閲覧する
ABACによる従業員のリソースアクセス権限管理
タグ認証時にタグキーのみマッチをサポート
商用事例
MySQL関連ケース
CLB 関連ケース
CMQ関連ケース
COS 関連ケース
CVM関連ケース
VPC 関連ケース
VOD関連ケース
その他のケース
よくあるご質問
ロール関連問題
キー関連の問題
その他の問題
CAMユーザーと権限の問題
用語一覧
ドキュメントCloud Access Managementユーザーガイドポリシーシンタックスのロジック有効条件適用シーン

適用シーン

PDF
フォーカスモード
フォントサイズ
最終更新日: 2025-12-29 17:59:10
シナリオタイプ
シナリオ説明
条件演算子は条件キーの条件値を含みます。
VPCを指定されたPeering Connectionに紐付けすることを許可しますが、VPCのリージョンを指定する必要があります。
Tagを紐付けしたCloud Virtual Machine (CVM)インスタンスのみ再起動することができます。
条件演算子は1つの条件キーの複数の条件値を含みます。
2つのIPを指定したユーザーのアクセスを許可します。
複数の条件演算子を持つシナリオ
指定したIPと指定した日付のユーザーのアクセスを許可します。
単一の条件演算子は複数の条件キーを含みます。
複数の条件キーを単一の条件演算子に付加する
ブール値条件演算子の適用
サブユーザーはtokenの紐付け後にのみAPIキーを削除できます。

条件演算子は条件キーの条件値を含みます。

シナリオ説明1

CAMユーザーがVPC Peering Connection APIを呼び出す場合、CAMユーザーがPeering Connection APIおよびPeering Connectionリソースへのアクセス権限を持っているかどうかを判断する必要があるだけでなく、CAMユーザーがPeering Connectionに関連付けられたVPCへのアクセス権限を持っているかどうかも確認する必要があります。

使用例1

以下の例は、VPCが指定されたPeering Connectionに紐付けすることを許可しますが、VPCのリージョンは上海である必要があります。
{
    "version": "2.0",
    "statement": [
    {
        "effect": "allow",
        "action": "name/vpc:AcceptVpcPeeringConnection",
        "resource": "qcs::vpc:sh::pcx/2341",
        "condition": {
            "string_equal_if_exist": {
                "vpc:region": "sh"
            }
        }
    }
   ]
}

シナリオ説明2

CAMユーザーがTencent Cloudリソースにアクセスする場合、ユーザーが指定したTagが紐付けられたリソースのみにアクセスできるように制限する必要があります。

使用例2

以下の例は、ユーザーがTag「部門&開発部」が紐付けられたCVMインスタンスのみ再起動(cvm:RebootInstances)できることを記述しています。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cvm:RebootInstances"
            ],
            "resource": "*",
            "condition": {
                "for_any_value:string_equal": {
                    "qcs:resource_tag": [
                        "Department&Research and Development"
                    ]
                }
            }
        }
    ]
}

条件演算子は1つの条件キーの複数の条件値を含みます。

シナリオ説明

単一の条件演算子が1つの条件キーの複数の条件値を含む場合、論理ORでその条件演算子を評価します。複数の条件値には集合演算子記号を使用する必要があります。
CAMユーザーがTencentCloud APIを呼び出す場合、ユーザーのアクセスソースを制限する必要があるときは、既存のポリシーにIP条件を追加する必要があります。

使用例

以下の例は、ユーザーがオブジェクトをアップロード(cos:PutObject)するには、10.217.182.3/24または111.21.33.72/24のネットワークセグメントにいる必要があることを記述しています。
{
    "version": "2.0",
    "statement":[
    {
        "effect": "allow",
        "action": "cos:PutObject",
        "resource": "*",
        "condition": {
            "ip_equal": {
                "qcs:ip": [
                    "10.217.182.3/24",
                    "111.21.33.72/24"
                ]
            }
        }
    }
  ]  
}

複数の条件演算子を持つシナリオ

シナリオ説明

ポリシーが複数の条件演算子を持つ場合、論理ANDを使用して条件を評価します。

使用例

以下の例は、ユーザーのリクエストIPが192.168.1.1であり、かつリクエスト日付が2022-05-31 00:00:00より前である場合にのみ一致することを記述しています。
"condition":{
                "ip_equal": {
                    "qcs:ip": "192.168.1.1"
                },
                "date_less_than": {
                    "qcs:current_time": "2022-05-31 00:00:00"
                }
            }

単一の条件演算子は複数の条件キーを含む

シナリオ説明

ポリシーが複数の条件演算子を持つ、または単一の条件演算子に複数の条件キーを付加する場合、論理ANDを使用して条件を評価します。

使用例

以下の例は、リソースのTagが「部門&開発部」であり、かつリクエストのTagが「部門&開発部」である場合にのみ一致することを記述しています。
"condition": {
                "string_equal": {
                    "qcs:resource_tag": [
                        "Department&Research and Development"
                    ],
                    "qcs:request_tag": [
                        "Department&Research and Development"
                    ]
                }
            }

ブール値条件演算子の適用

シナリオ説明

サブユーザーはtokenの紐付け後にのみAPIキーを削除できます。

使用例

このポリシーの権限付与を受けたサブユーザーは、tokenの紐付け後にのみAPIキーを削除できます。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cam:DeleteApiKey"
            ],
            "resource": [
                "*"
            ],
            "condition": {
                "bool_equal": {
                    "qcs:BindToken": "true"
                }
            }
        }
    ]
}

前の記事へ: 条件キーと条件演算子次の記事へ: ポリシーのバージョン管理

ヘルプとサポート

この記事はお役に立ちましたか?

フィードバック