タグを使用したリソースに対するアクセス権限の制御
このチュートリアルでは、アカウント内のリソースに対するアクセス権限を大きな規模で管理する手順を説明します。 このチュートリアルを完了することで、アクセス管理タグを作成する方法、選択したリソースにタグを追加する方法、リソースに対するアクセス権限をリソースに付いているタグに基づいて割り当てるポリシーを定義する方法を学ぶことができます。
アクセス管理タグは、アクセス制御の関係の編成のためにリソースに追加されるメタデータです。 アクセス管理タグによって、柔軟で管理しやすいリソース・グループが作成されます。 タグを使用してリソースに対するアクセス権限を制御すれば、チームのプロジェクトが大きくなっても IAM ポリシーを更新する必要はありません。
ここでは、あなたが 分析用にプロジェクト固有の機密データを保管するために IBM Cloud® Object Storage インスタンスを必要とするチームのプロジェクト・リーダーであるという想定を使用します。 プロジェクト・リーダーであるあなたは、プロジェクトのメンバーのみにサービス・インスタンスに対するアクセス権限を与えて、プロジェクトのデータを処理させようとしています。
このチュートリアルは、IAM 対応リソースのみを対象としています。 アクセス管理タグの作成と削除を行うには、すべてのアカウント管理サービスで管理者権限が必要です。 アクセス管理タグを付けたり外したりするには、少なくとも、タグを追加するリソースに対する管理者役割が必要です。
開始前に
IAM を初めて使用する場合は、以下のリソースを参照して、アクセス管理システムの機能、概念、およびコンポーネントについて詳しく確認してください。
- このサービスの概要については、IBM Cloud の Identity and Access Management とは何ですか? を参照してください。
- アクセス・ポリシーを使用するアクセス管理の仕組みについての説明は、IAM アクセスを参照してください。
- アクセス管理タグの使用方法の概要については、IBM Cloud でのタグを使用したアクセスの制御に関するビデオをご覧ください。
アクセス管理タグの作成
アクセス管理タグを作成し、Object Storage 。
- IBM Cloud コンソールで 管理>アカウント に移動し、タグ を選択します。
- アクセス管理タグ をクリックします。
- タグの名前 (
project:analysis
) を入力し、タグの作成をクリックします。 タグ付けのルールを参照して、構文や制限を確認してください。
タグはアカウント全体で可視の状態になるので、個人情報 (名前、住所、電話番号、E メール・アドレスなどの識別情報や専有情報など) は使用しないでください。
リソースへのアクセス管理タグの付加
タグを作成できたので、そのタグをリソースに追加できます。
- ナビゲーションメニュー アイコンをクリックします
> リソース リストをクリックして、アカウント内のリソースのリストにアクセスします。
- IBM Cloud® Object Storage インスタンスを見つけ、アクション・アイコン
> タグの追加をクリックします。
project:analysis
と入力して、Enter キーを押します。
アクセス・グループの作成
作成したタグに基づいてユーザーに付与する、Object Storage に対するアクセス権限のレベルを定義します。 それぞれのアクセス・レベルの例を以下に示します。
- リーダー役割を持つユーザーは、バケット内のオブジェクトをリストしたりダウンロードしたりできます。
- ライター役割を持つユーザーは、バケットを作成したり削除したりできます。
- 管理者役割を持つユーザーは、データ・ストレージのあらゆる側面を制御できます (例えば、保存ポリシーやバケット・ファイアウォールの追加などを行うことができます)。
まず、複数のユーザーにアクセス権限を割り当てる作業を合理的に行うために、アクセス・グループを作成します。
- IBM Cloud コンソールで管理 > アクセス (IAM) をクリックし、アクセス・グループを選択します。
- 「作成」 をクリックします。
- アクセス・グループを識別する固有の名前と、オプションで説明を入力し、作成をクリックします。
ポリシーの割り当て
次に、そのグループにポリシーを割り当てます。
- 「アクセス権限」 > 「アクセス権限の割り当て」 をクリックします。
- サービスとしてすべての ID およびアクセス対応サービスを選択します。
- アクセス権限のスコープを特定のリソース>アクセス管理タグに設定して、付加されたアクセス管理タグに基づいてアクセス権限を付与します。
project:analysis
と入力するか、オプションのリストから選択します。- リソース・グループ・アクセス権限を選択します。
- 適用するすべての役割を選択します。 特定の役割にマップされているすべてのアクションのリストを表示するには、それぞれの役割の横に表示されている数字をクリックします。
- **「レビュー」**をクリックします。
- 追加をクリックして、ポリシー構成をポリシー・サマリーに追加します。
- 割り当て をクリックします。
アクセス・グループへのユーザーの追加
次に、アクセス・グループにユーザーを追加します。
- ユーザー > ユーザーの追加をクリックします。
- リストからプロジェクトのメンバーを選択し、グループに追加をクリックします。
アクセス・ポリシーを作成した後は、同じアクセス管理タグを他のリソースに付加したり外したりすることによって、それらのリソースに対するアクセス権限の付与や取り消しを行うことができます。
次のステップ
CLI コマンドおよび API コマンドを使用して同じアクションを実行する方法については、タグの処理を参照してください。