ポリシーアナライザーは、作成したポリシーのJSONステートメントを分析し、ポリシーに対して検証チェックを行うためのものです。これにはポリシーのエラー、警告、推奨事項が含まれ、よりセキュリティ実践ガイドに沿ったポリシーの作成を支援します。
version
1. エラー:version 不足
Tencent Cloudコンソールで、ポリシーアナライザーのエラーメッセージは:エラー——versionが不足しています。versionはポリシー構文のバージョンを記述するもので、この要素は必須項目です。
エラーの解決:Versionはポリシー構文のバージョンを記述するものです。この要素は必須項目です。現在、許可されている値は「2.0」または「3.0」です(Version 3.0の使用ガイド)。すべての利用可能なポリシー機能を使用するには、以下のVersion要素をすべてのポリシーのStatement要素の前に含める必要があります。各ポリシーにはversion要素は一つだけ許可されています。
2. エラー——無効な version
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なversion。versionはポリシー構文(version)のバージョンを記述するもので、この要素は必須項目です。現在、許可されている値は「2.0」または「3.0」です。
エラーの解決:Versionはポリシー構文のバージョンを記述するものです。この要素は必須項目です。現在、許可されている値は「2.0」または「3.0」です(Version 3.0使用指引)。すべての利用可能なポリシー機能を使用するには、以下のVersion要素をすべてのポリシーのStatement要素の前に含める必要があります。各ポリシーにはversion要素は一つだけ許可されています。
3. エラー——冗長version
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——冗長なversion。versionはポリシー構文(version)のバージョンを記述するもので、この要素は必須項目です。各ポリシーにはversion値は一つだけ許可されています。
エラーの解決:Versionはポリシー構文のバージョンを記述するものです。この要素は必須項目です。現在、許可されている値は「2.0」または「3.0」です(Version 3.0の使用ガイド)。すべての利用可能なポリシー機能を使用するには、以下のVersion要素をすべてのポリシーのStatement要素の前に含める必要があります。各ポリシーにはversion要素は一つだけ許可されています。
statement
4. エラー——statementの不足
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——statementが不足しています。statementは一つまたは複数の権限の詳細情報を記述するものです。
エラーの解決:statementは一つまたは複数の権限の詳細情報を記述するものです。この要素はprincipal、action、resource、condition、effectなど、他の複数の要素の権限または権限集合を含みます。一つのポリシーにはstatement要素が一つだけ存在します。
5. エラー——無効な statement
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なstatement。statementはprincipal、action、resource、condition、effectなど、他の複数の要素の権限または権限集合を含みます。
エラーの解決:statementは一つまたは複数の権限の詳細情報を記述するものです。この要素はprincipal、action、resource、condition、effectなど、他の複数の要素の権限または権限集合を含みます。一つのポリシーにはstatement要素が一つだけ存在します。
6. エラー——冗長なstatement
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——冗長なstatement。statementは一つまたは複数の権限の詳細情報を記述するもので、一つのポリシーにはstatement要素が一つだけ存在します。
エラーの解決:statementは一つまたは複数の権限の詳細情報を記述するものです。この要素はprincipal、action、resource、condition、effectなど、他の複数の要素の権限または権限集合を含みます。一つのポリシーにはstatement要素が一つだけ存在します。
effect
7. エラー:effectの不足
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——effectが不足しています。effectは、声明がもたらす結果が「許可」であるか「明示的な拒否」であるかを記述するものです。
エラーの解決:effectは、声明がもたらす結果が「許可」であるか「明示的な拒否」であるかを記述するものです。allow(許可)とdeny(明示的な拒否)の2つのケースを含みます。この要素は必須項目です。
8. エラー——無効な effect
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なeffect。この要素は必須項目であり、effectはallow(許可)とdeny(明示的な拒否)の2つのケースのみを含みます。
エラーの解決:effectは、声明がもたらす結果が「許可」であるか「明示的な拒否」であるかを記述するものです。allow(許可)とdeny(明示的な拒否)の2つのケースを含みます。この要素は必須項目です。
principal
9. エラー―principal不足
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——principalが不足しています。principalはポリシーの権限付与を記述するエンティティです。リソースベースのポリシーはprincipal要素を含む必要があります。
エラーの解決:principalはポリシー権限付与のエンティティを記述します。ユーザー(マスターアカウント、サブアカウント、ロール、フェデレーテッドアイデンティティユーザーなどのエンティティ)を含みます。リソースベースのポリシーはprincipal要素を含む必要があります。
10. エラー――無効な principal
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なprincipal。principalはポリシー権限付与のエンティティを記述するものです。
エラーの解決:principalはポリシー権限付与のエンティティを記述します。ユーザー(マスターアカウント、サブアカウント、ロール、フェデレーテッドアイデンティティユーザーなどのエンティティ)を含みます。この要素はリソースベースのポリシーでのみ使用できます。
例:
"principal": {
"qcs": [
"qcs::cam::uin/100000000001:uin/100000000002"
]
}
11. エラー——SCP は principal をサポートしていない
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——Organizationsサービスコントロールポリシー(SCP)はPrincipalをサポートしていません。
エラーの解決:Organizationsサービスコントロールポリシー(SCP)はPrincipal要素をサポートしていません。Principal要素を削除してください。
12. 推奨:principal を空にする
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:提案——principalが指定されていません。
エラーの解決:ロールの信頼ポリシーとリソースベースのポリシーでPrincipal要素を使用する必要があります。リソースベースのポリシーとはリソースに直接埋め込まれたポリシーです。ステートメントのPrincipal要素が空の場合、ステートメントはポリシーに影響を与えませんが、Tencentは主体を指定することをお勧めします。
resource
13. エラー——resourceの不足
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——resourceが不足しています。resourceは権限付与の具体的なデータを記述するものです。
エラーの解決:resourceは権限付与の具体的なデータを記述します。リソースは六段式で記述されます。この要素は必須項目です。各製品のリソース定義の詳細は異なります。
14. エラー——resource が空
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——resourceが空です。resourceは権限付与の具体的なデータを記述するものであり、この要素は必須項目です。
エラーの解決:resourceは権限付与の具体的なデータを記述します。リソースは六段式で記述されます。この要素は必須項目です。各製品のリソース定義の詳細は異なります。
15. エラー——リソース六段式第一段エラー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第一セグメントエラー、リソース六段式のプレフィックスはqcsに固定されています。
エラーの解決:リソース六段式のプレフィックスはqcsに固定されています。qcloud serviceは略称であり、Tencent Cloudのクラウドリソースを表します。リソース六段式:qcs:project_id:service_type:region:account:resource。
16. エラー:リソース六段式の第二セグメントエラー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第二セグメントエラー。
エラーの解決:リソース六段式の第二セグメントエラー、リソース六段式の第二セグメントはプロジェクト情報を記述するもので、CAMの初期ロジックとの互換性のみを考慮したものです。現在のポリシー構文ではこの情報の入力が禁止されているため、空欄のままにしてください。
17. エラー:リソース六段式の第三セグメントが無効なサービス
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第三セグメント:無効なサービス。
エラーの解決:リソース六段式の第三セグメントは製品の略称を記述するものです。詳細はCAMをサポートする製品における「CAMにおける略称」で閲覧できます。 18. エラー——リソース六段式第四セグメント無効なリージョン
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第四セグメント:無効なリージョン。
エラーの解決:リソース六段式の第四セグメントはリージョン情報を記述するもので、値が空の場合はすべてのリージョンを表します。
19. エラー——リソース六段式の第五セグメント:無効なuin
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第五セグメント:無効な uin。
エラーの解決:リソース六段式の第五セグメントはリソース所有者のマスターアカウント情報を記述するもので、現在リソース所有者を記述する2つの方法(uin方式とuid方式)をサポートしています。uin方式とは、マスターアカウントのアカウントIDを指し、uin/${uin}と表記されます。uid方式とは、マスターアカウントのAPPIDを指し、uid/${appid}と表記され、COSおよびCASサービスのリソース所有者のみがこの方式を使用します。値が空の場合は、ポリシーを作成したCAMユーザーが所属するマスターアカウントを表します。
20. エラー——リソース六段式の第五セグメント:無効な uid
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第五セグメント:無効な uid。
エラーの解決:リソース六段式の第五セグメントはリソース所有者のマスターアカウント情報を記述するもので、現在リソース所有者を記述する2つの方法(uin方式とuid方式)をサポートしています。uin方式とは、マスターアカウントのアカウントIDを指し、uin/${uin}と表記されます。uid方式とは、マスターアカウントのAPPIDを指し、uid/${appid}と表記され、COSおよびCASサービスのリソース所有者のみがこの方式を使用します。値が空の場合は、ポリシーを作成したCAMユーザーが所属するマスターアカウントを表します。
21. エラー——リソース六段式の第五セグメント:無効なアカウントフォーマット
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第五セグメント:無効なアカウントフォーマット。
エラーの解決:リソース六段式の第五セグメントはリソース所有者のマスターアカウント情報を記述するもので、現在リソース所有者を記述する2つの方法(uin方式とuid方式)をサポートしています。uin方式とは、マスターアカウントのアカウントIDを指し、uin/${uin}と表記されます。uid方式とは、マスターアカウントのAPPIDを指し、uid/${appid}と表記され、COSおよびCASサービスのリソース所有者のみがこの方式を使用します。値が空の場合は、ポリシーを作成したCAMユーザーが所属するマスターアカウントを表します。
22. エラー——リソース六段式の第六セグメント:無効なリソースフォーマット
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第六セグメント:無効なリソースフォーマット。
エラーの解決:リソース六段式の第六セグメントは各製品の具体的なリソース詳細を記述するもので、現在リソース情報を記述する2つの方法をサポートしています:resource_type/${resourceid} と <resource_type>/<resource_path>。
resource_type/${resourceid}:resourcetype はリソースプレフィックスであり、リソースタイプを記述するものです。詳細は CAM対応ビジネスインターフェース の製品リソース六段式をご覧ください。${resourceid} は具体的なリソースIDであり、各製品コンソールで閲覧できます。値が * の場合は、そのタイプのすべてのリソースを表します。 <resource_type>/<resource_path>:resourcetype はリソースプレフィックスであり、リソースタイプを記述します、<resource_path> はリソースパスであり、この方式ではディレクトリレベルのプレフィックスマッチをサポートします。詳細は CAM対応業務インターフェース の製品リソース六段式をご覧ください。 23. エラー——リソース六段式第六セグメントのワイルドカードエラー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第六セグメント:ワイルドカードエラー。
エラーの解決:リソース六段式の第六セグメントは各製品の具体的なリソース詳細を記述するものであり、qcs::ckafka:bj:check:/ckafka-37zqnevtest または qcs::ckafka:bj:check:/* フォーマットはサポートしていません。
24. エラー――リソース六段式の第六セグメントにプレフィックスがある場合、第三セグメントのサービスは空にできない
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の第六セグメントにプレフィックスがある場合、第三セグメントのサービスは空であってはなりません。
エラーの解決:リソース六段式の第六セグメントは各製品の具体的なリソース詳細を記述するものであり、リソース六段式の第六セグメントにプレフィックスがある場合、第三セグメントには対応するサービスの略称を必ず入力する必要があります。
25. エラー——リソース六段式フォーマットエラー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式のフォーマットエラーです。
エラーの解決:リソース六段式は6つのフィールドを含め、以下の構造を含める必要があります:qcs:project_id:service_type:region:account:resource。
26. エラー——リソース六段式の長さ超過
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——リソース六段式の長さ制限超過。
エラーの解決:リソース六段式の長さ上限は500文字です。
27. 推奨――リソース冗長化
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:推奨——リソースリダンダンシーです。
エラーの解決:指定されたリソースの記述とリソースワイルドカード「*」が冗長です。
例:
"Resource": [
"qcs::cam::uin/111122223333:rolename/admin",
"qcs::cam::uin/1111122223333:rolename/readonly",
"qcs::cam::uin/1111122223333:rolename/*"
]
例では、3つ目のリソース六段式ですべてのrolenameリソースが記述されています。他のロールadmin、readonlyはワイルドカード「*」に含まれています。
action
28. エラー――actionの不足
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——actionが不足しています。actionは、許可または拒否する操作を記述するものです。
エラーの解決:actionは許可または拒否する操作を記述します。操作はAPI(nameプレフィックスで記述)または機能セット(特定のAPIのグループ、actionNameプレフィックスで記述)である可能です。この要素は必須項目です。
例:
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": [
"ES:CreateServerlessSpace",
"ES:CreateServerlessInstance",
"ES:DescribeServerlessInstances",
"ES:CreateServerlessInstanceUser",
"ES:DescribeServerlessInstanceUsers",
"ES:CreateServerlessDi",
"ES:DescribeServerlessDi",
"ES:DeleteServerlessInstanceUser",
"ES:DeleteServerlessDi",
"ES:DeleteServerlessInstance",
"ES:DescribeServerlessSpaces",
"ES:SearchServerlessData"
],
"resource": [
"*"
]
}
]
}
29. エラー——無効な action
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なactionです。
エラーの解決:actionは許可または拒否する操作を記述します。入力されたactionが無効です。入力されたactionのプレフィックスとaction名を確認してください。
30. エラー——actionにおける無効なサービスプレフィックス
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——action内の無効なサービスプレフィックスです。
エラーの解決:actionは許可または拒否する操作を記述するものです。action内のサービスプレフィックスが無効です。入力されたactionのプレフィックスを確認してください。
31. 推奨:アクションの冗長
Tencent Cloudコンソールでは、ポリシーアナライザーの推奨メッセージは:推奨―actionリダンダンシーです。
エラーの解決:actionが冗長です。指定されたactionがワイルドカード「*」と重複しています。
例:
"Action": [
"cam:Get*",
"cam:List*",
"cam:Getrole"
],
例では、ワイルドカード"cam:Get*"はすでにGetrole権限を含んでいます。
condition
32. エラー―データ型不一致
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——データタイプの不一致です。
エラーの解決:入力された条件値と条件演算子が、条件キーで要求されるデータタイプと一致していません。
33. エラー――無効なグローバル条件キー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効な条件キーです。
エラーの解決:グローバル条件キーは「qcs:」プレフィックス付きの条件キーであり、現在はqcs:current_time、qcs:ip、qcs:resource_tag、qcs:request_tagの4種類のグローバル条件キーのみサポートされています。
34. エラー——無効なサービス条件キー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なサービス条件キーです。
エラーの解決:サービス条件キーはサービス略称のプレフィックスを持つもので、例えば vpc: プレフィックスの条件キーです。
35. エラー——複数のブール値はサポートされていない
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——複数のブール値はサポートされていません。
エラーの解決:ブール条件演算子は1つのブール値のみサポートします。
36. エラー——condition 長さ制限超過
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——condition 長さ制限超過です。
エラーの解決:condition の長さは最大4095文字をサポートします。
37. エラー—無効な条件演算子
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効な条件演算子です。
38. 推奨:条件キーと条件演算子の不一致
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——条件キーと条件演算子が不一致です。
その他
39. エラー——無効なポリシー要素
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——無効なポリシーエレメントです。
エラーの解決:ポリシーステートメントは、バージョン(version)、ステートメント(statement)、プリンシパル(principal)、操作(action)、リソース(resource)、コンディション(condition)、およびエフェクト(effect)要素のみをサポートします。
40. エラー——JSON 構文エラー
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——JSON構文エラーです。
エラーの解決:ご利用のポリシーには構文エラーが含まれています。JSON構文を確認してください。
41. エラー——ポリシー長さ制限超過
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——ポリシー長さ制限超過です。
エラーの解決:ポリシーの長さが制限を超過しています。ポリシーの長さは最大6144をサポートします。
42. エラー——ACLポリシーの長さ制限超過
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——ACLポリシー長さ制限超過です。
エラーの解決:ACLポリシーの長さが制限を超過しています。ポリシーの長さは最大20480をサポートします。
43. エラー——カスタムポリシー数の上限超過
Tencent Cloudコンソールでは、ポリシーアナライザーのエラーメッセージは:エラー——カスタムポリシー数が上限を超えました。
エラーの解決:Tencent Cloudアカウントのカスタムポリシー数上限は1500です。
44. 警告:無効な日付値
Tencent Cloudコンソールでは、ポリシーアナライザーの警告メッセージは:警告——無効な日付値です。
警告の解決:Unix Epoch時間は1970年1月1日から経過した時間ポイントをうるう秒を差し引いて記述します。Epoch時間は期待される正確な時間に解析できない場合があります。Tencent Cloudは日付と時刻フォーマットにW3C標準を使用することを推奨します。例えば、YYYY-MMM-DD(1997-07-16)のように完全な日付を指定するか、YYYY-MM-DDThh:mm:ssTZD(1997-07-16T19:20:30+01:00)のように秒単位まで時間を付加できます。