コンテキスト・ベースの制限による IAM サービスの保護
コンテキストに基づく制限により、アカウント所有者および管理者は、アクセスリクエストのコンテキストに基づいて、 IBM Cloud® リソースへのアクセス制限を定義し、適用することができます。 IAM リソースへのアクセスは、コンテキスト・ベースの制限と ID およびアクセス管理 (IAM) ポリシーを使用して制御できます。 IAM アクセスとコンテキスト・ベースの制限の両方によってアクセスが強制されるので、資格情報が漏洩した場合や適切に管理されなかった場合でも、コンテキスト・ベースの制限によって保護が提供されます。 詳しくは、コンテキスト・ベースの制限とはを参照してください。
これらの制限は、アイデンティティに基づく従来のIAMポリシーと連携し、さらなる保護レイヤーを提供します。 IAM ポリシーとは異なり、コンテキスト・ベースの制限はアクセス権限を割り当てません。 コンテキスト・ベースの制限は、アクセス要求が、構成された許可されるコンテキストからのものであるかどうかを検査します。
ユーザーは、ルールを作成、更新、または削除するターゲットにする特定の IAM サービスに対する管理者役割を持っている必要があります。 ユーザーがネットワーク・ゾーンを表示してルールに追加するには、少なくともコンテキスト・ベースの制限サービスに対するビューアー役割も必要です。 コンテキスト・ベースの制限サービスに対するエディターまたは管理者の役割は、ネットワーク・ゾーンを作成、更新、または削除する権限をユーザーに付与します。
生成される IBM Cloud Activity Tracker イベントまたは監査ログ・イベントは、IAM サービスではなく、コンテキスト・ベースの制限サービスから生成されます。 詳しくは、 コンテキスト・ベースの制約事項のモニター を参照してください。
コンテキスト・ベースの制限による IAM リソースの保護を開始するには、 リソースを保護するためのコンテキスト・ベースの制限の活用 のチュートリアルを参照してください。
IAM とコンテキスト・ベースの制限との統合方法
特定の IAM サービスまたはすべての IAM アカウント管理サービスのグループを保護するには、以下の手順を実行します。
- IBM Cloud コンソールで、 [管理] > [コンテキストベースの制限 ] をクリックし、 [ルール] を選択します。
- 「作成」 をクリックします。
- 個々の IAM サービス、またはすべての IAM アカウント管理サービスのグループを選択します。
- そして、「次へ」 をクリックします。
- サービス全体またはサービス・グループを保護するには、制限の範囲を 「すべてのリソース」 に設定します。
- 特定のアクション・セットのみを保護するには、制限の範囲を 「特定のリソース」 に設定します。
- 属性を選択し、値を選択または入力します。 特定のアクション・セットの制限について詳しくは、ステップ 3 でターゲットにしたサービスのセクションを参照してください。
- 「確認」>**「続行」**をクリックします。
- 1つ以上のコンテキストを追加します。 エンドポイント・タイプとネットワーク・ゾーンを選択し、**「追加」**をクリックします。 詳しくは、 ルールの作成 を参照してください。
- 「続行」 をクリックします。
- 固有の説明を入力してください。
- ルールの適用方法を選択します。 作成時にルールを適用する方法を決定し、いつでもルール適用を更新することができます。 詳しくは、 ルールの適用 を参照してください。
IAM アクセス・グループ・サービスをターゲットとするルールを作成するとします。 IAM アクセス・グループのサービス・アクションを実行するには、IAM アクセス・ポリシーを持つ正しい役割がユーザーに割り当てられている必要があり、ユーザーはコンテキスト・ベースの制限ルールを満たしている必要があります。 例えば、IAM アクセス・グループ・サービスに対するビューアー役割を持つユーザーは、正しいネットワーク・ゾーンから要求を送信し、ルールを満たす場合、アクション iam-groups.members.read を実行できます。 ビューアー役割を持つ同じユーザーがグループ (iam-groups.members.add) にメンバーを追加しようとした場合、そのユーザーは編集者でも管理者でもないため、ルールを満たしていてもその要求を完了できません。
サービスに関連付けられたアクションを表示するには、 IBM Cloud® コンソールの 「役割」 ページに移動します。
IAM とコンテキスト・ベースの制限との統合方法
特定の IAM サービスまたはすべての IAM アカウント管理サービスのグループを保護するには、以下の属性を使用してルールを作成します。
| サービス | 名前 | 値 |
|---|---|---|
| IAM アクセス・グループ・サービス | serviceName |
iam-groups |
| IAM アクセス管理サービス | serviceName |
iam-access-management |
| IAM Identity サービス | serviceName |
iam-identity |
| ユーザー・マネジメントのサービス | serviceName |
user-management |
| すべての IAM アカウント管理サービス | service_group_id |
IAM |
サービスに関連付けられているすべてのアクションを保護するには、特定のリソースまたは API にスコープを設定せずにルールを作成します。 詳しくは、 ルールの作成 を参照してください。 特定のアクション・セットのみを保護するには、表 1 にリンクされている以下のセクションを参照してください。
IAM アクセス・グループ・サービスの保護
IAM アクセス・グループ・サービスには、アクセス・グループを作成、編集、および削除する機能が含まれています。 この機能は、グループへのユーザーの追加またはグループからのユーザーの削除、グループへのアクセス権限の割り当て、および他のユーザーがアクセス・グループを操作するためのアクセス権限の管理に拡張されています。 サービス全体を保護できます。これには、サービスに関連付けられたすべてのアクションが含まれます。
特定のアクセス・グループを管理する機能の制限
ルールのスコープを Resource ID 属性に設定することで、特定のアクセス・グループを管理する機能を保護できます。 Resource ID 属性にスコープ設定されたルールを作成すると、その特定のアクセス・グループのサービスに関連付けられたすべてのアクションが保護されます。
このルールを構成するには、 IAM アクセス・グループ・サービスをターゲットにし、ルールのスコープを 「特定のリソース」 に設定し、 Resource ID 属性を選択します。 次に、保護するアクセス・グループの ID を入力します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
アクセスグループIDを確認するには 、「管理」>「アクセス(IAM)」>「アクセスグループ」 に移動します。 ルールで保護するアクセス・グループをクリックします。 次に、 「詳細」 をクリックします。 目的の値は AccessGroupId で始まります。
API を使用して特定のアクセス・グループを管理する機能を制限する
ルールのスコープを resource 属性に設定することで、特定のアクセス・グループを管理する機能を保護できます。 resource 属性にスコープ設定されたルールを作成すると、その特定のアクセス・グループのサービスに関連付けられたすべてのアクションが保護されます。
以下の例は、特定のアクセス・グループを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-groups"
},
{
"name": "resource",
"value": "AccessGroupId1234",
"operator": "stringEquals"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
アクセス・グループ ID を見つけるには、 「アクセス・グループのリスト(List access groups)」 メソッドを使用します。
IAM アクセス管理サービスの保護
IAM アクセス管理サービスには、カスタム役割の管理、アクセス・ポリシーの割り当て、IAM 設定の管理などを行う機能が含まれています。 サービス全体を保護することも、要求のコンテキストに基づいて特定のアクション・セットを制限することもできます。
コンソールでカスタム・ロールを管理する機能の制限
ルールのスコープを Role Management リソース・タイプに設定することで、カスタム・ロールを管理する機能を保護できます。 Role Management リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-access-management.customRole.createiam-access-management.customRole.updateiam-access-management.customRole.deleteiam-access-management.customRole.read
このルールを構成するには、 IAM アクセス管理サービスをターゲットにし、制限の範囲を 「特定のリソース」 > 「リソース・タイプ」 に設定してから、 「役割管理」 を選択します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
役割管理アクションを実行するには、IAM アクセス・ポリシーを持つ正しい役割がユーザーに割り当てられている必要があり、ユーザーはコンテキスト・ベースの制限ルールを満たしている必要があります。 例えば、IAM アクセス管理サービスに対するビューアー役割を持つユーザーは、正しいネットワーク・ゾーンから要求を送信し、ルールを満たす場合、アクション iam-access-management.customRole.read を実行できます。 同じユーザーがカスタム役割を作成しようとした場合、そのユーザーは管理者ではないため、ルールを満たしていてもその要求を完了できません。
コンソールでポリシーを管理する機能の制限
ルールのスコープを Policy Management リソース・タイプに設定することで、IAM ポリシーを管理する機能を保護できます。 Policy Management リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam.delegationPolicy.createiam.delegationPolicy.updateiam.policy.readiam.policy.createiam.policy.updateiam.policy.delete
このルールを構成するには、 IAM アクセス管理サービスをターゲットにし、制限の範囲を 「特定のリソース」 > 「リソース・タイプ」 に設定してから、 「ポリシー管理」 を選択します。 詳しくは、 ルールの作成 を参照してください。
ポリシー管理アクションを実行するには、IAM アクセス・ポリシーを持つサービスに対する役割がユーザーに割り当てられている必要があり、ユーザーはコンテキスト・ベースの制限ルールを満たしている必要があります。 例えば、IAM アクセス管理サービスに対するビューアー役割を持つユーザーは、正しいネットワーク・ゾーンから要求を送信し、ルールを満たす場合、アクション iam.policy.read を実行できます。 同じユーザーがポリシーを作成しようとすると、そのユーザーは管理者ではないため、ルールを満たしていてもその要求を完了できません。
コンソールで洞察を表示する機能の制限
ルールのスコープを insights リソース・タイプに設定することで、非アクティブ ID レポートや非アクティブ・ポリシー・レポートなどの洞察を表示する機能を保護できます。 insights リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-access-management.insight.get
このルールを構成するには、 IAM アクセス管理サービスをターゲットにし、制限のスコープを 「特定のリソース」 > 「リソース・タイプ」 に設定してから、 「AM Insights」 を選択します。 詳しくは、 ルールの作成 を参照してください。
設定アクションを実行するには、IAM アクセス・ポリシーを持つ正しい役割がユーザーに割り当てられている必要があり、ユーザーはコンテキスト・ベースの制限ルールを満たしている必要があります。 例えば、IAM アクセス管理サービスに対する編集者役割を持つユーザーは、正しいネットワーク・ゾーンから要求を送信し、ルールを満たす場合、アクション iam-access-management.insight.get を実行できます。 ビューアー役割を持つユーザーは、編集者でも管理者でもないため、ルールを満たしていてもその要求を完了できません。
API を使用してカスタム役割を管理する機能の制限
ルールのスコープを customRole リソース・タイプに設定することで、カスタム・ロールを管理する機能を保護できます。 customRole リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-access-management.customRole.createiam-access-management.customRole.updateiam-access-management.customRole.deleteiam-access-management.customRole.read
以下の例は、カスタム・ロール・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-access-management"
},
{
"name": "resourceType",
"value": "customRole"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
役割管理アクションを実行するには、IAM アクセス・ポリシーを持つ正しい役割がユーザーに割り当てられている必要があり、ユーザーはコンテキスト・ベースの制限ルールを満たしている必要があります。 例えば、IAM アクセス管理サービスに対するビューアー役割を持つユーザーは、正しいネットワーク・ゾーンから要求を送信し、ルールを満たす場合、アクション iam-access-management.customRole.read を実行できます。 同じユーザーがカスタム役割を作成しようとすると、管理者ではないため、ルールを満たしていてもその要求を完了できません。
API を使用したポリシー管理機能の制限
ルールのスコープを policy リソース・タイプに設定することで、IAM ポリシーを管理する機能を保護できます。 Policy Management リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam.delegationPolicy.createiam.delegationPolicy.updateiam.policy.readiam.policy.createiam.policy.updateiam.policy.deleteiam.service.readiam.role.readiam.role.assign
以下の例は、ポリシー・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-access-management"
},
{
"name": "resourceType",
"value": "policy"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
API を使用した洞察の表示機能の制限
ルールのスコープを insights リソース・タイプに設定することで、非アクティブ ID レポートや非アクティブ・ポリシー・レポートなどの洞察を表示する機能を保護できます。 insights リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-access-management.insight.get
以下の例は、ポリシー・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "8293c49bc2724a07999910b1da94c4d6"
},
{
"name": "serviceName",
"value": "iam-access-management"
},
{
"name": "resourceType",
"value": "insight"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
設定アクションを実行するには、IAM アクセス・ポリシーを持つ正しい役割がユーザーに割り当てられている必要があり、ユーザーはコンテキスト・ベースの制限ルールを満たしている必要があります。 例えば、IAM アクセス管理サービスに対する編集者役割を持つユーザーは、正しいネットワーク・ゾーンから要求を送信し、ルールを満たす場合、アクション iam-access-management.insight.get を実行できます。 ビューアー役割を持つユーザーは、編集者でも管理者でもないため、ルールを満たしていてもその要求を完了できません。
IAM Identity サービスの保護
IAM Identity サービスには、サービス ID、API キー、ID プロバイダー (IdPs)、およびトラステッド・プロファイルを表示、更新、および削除する機能が含まれています。 サービス ID およびトラステッド・プロファイルへのアクセス権限を割り当てることもできます。 すべてのユーザーがサービス ID を作成できるため、サービス・アクションは、他のユーザーによって作成されたアカウント内のサービス ID、API キー、および IdPs に適用されます。
サービス全体を保護することも、要求のコンテキストに基づいて特定のアクション・セットを制限することもできます。 特定のアクション・セットのみを保護するには、以下のセクションを参照してください。
IAM トークン API は、コンテキスト・ベースの制限の対象ではありません。 IAM Identity サービスをターゲットとするルールは、トークン API では適用されません。 トークン API は、異なるメカニズムを使用して、アカウントにログインするユーザーの IP アドレス制限を設定します。この間、ユーザーはトークンを取得します。 詳しくは、 アカウントの特定の IP アドレスの許可 を参照してください。
コンソールでサービス ID とその API キーを管理する機能の制限
ルールのスコープを serviceid リソース・タイプに設定することで、サービス ID とその API キーを管理する機能を保護できます。 serviceid リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.serviceid.getiam-identity.serviceid.updateiam-identity.serviceid.deleteiam-identity.apikey.manageiam-identity.apikey.getiam-identity.apikey.listiam-identity.apikey.createiam-identity.apikey.updateiam-identity.apikey.delete
このルールを構成するには、 IAM Identity サービスをターゲットにし、ルールのスコープを 「特定のリソース」 に設定し、 Resource type 属性を選択します。 次に、値 serviceid を入力します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
API を使用してサービス ID とその API キーを管理する機能の制限
ルールのスコープを serviceid リソース・タイプに設定することで、サービス ID とその API キーを管理する機能を保護できます。 serviceid リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.serviceid.getiam-identity.serviceid.updateiam-identity.serviceid.deleteiam-identity.apikey.manageiam-identity.apikey.getiam-identity.apikey.listiam-identity.apikey.createiam-identity.apikey.updateiam-identity.apikey.delete
以下の例は、 serviceid リソース・タイプ・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "serviceid"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
コンソールでユーザー API キーを管理する機能の制限
ルールのスコープを apikey リソース・タイプに設定することで、ユーザー API キーを管理する機能を保護できます。 apikey リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.apikey.manageiam-identity.apikey.getiam-identity.apikey.listiam-identity.apikey.createiam-identity.apikey.updateiam-identity.apikey.delete
このルールを構成するには、 IAM Identity サービスをターゲットにし、ルールのスコープを 「特定のリソース」 に設定し、 Resource type 属性を選択します。 次に、値 apikey を入力します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
API を使用してユーザー API キーを管理する機能の制限
ルールのスコープを apikey リソース・タイプに設定することで、ユーザー API キーを管理する機能を保護できます。 apikey リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.apikey.manageiam-identity.apikey.getiam-identity.apikey.listiam-identity.apikey.createiam-identity.apikey.updateiam-identity.apikey.delete
以下の例は、 apikey リソース・タイプ・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "apikey"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
コンソールでトラステッド・プロファイルを管理する機能の制限
ルールのスコープを profile リソース・タイプに設定することで、トラステッド・プロファイルを管理する機能を保護できます。 profile リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.profile.createiam-identity.profile.updateiam-identity.profile.deleteiam-identity.profile.getiam-identity.profile.get_sessioniam-identity.profile.revoke_sessioniam-identity.profile.linkToResource
このルールを構成するには、 IAM Identity サービスをターゲットにし、ルールのスコープを 「特定のリソース」 に設定し、 Resource type 属性を選択します。 次に、値 profile を入力します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
API を使用して信頼できるプロファイルを管理する機能の制限
ルールのスコープを profile リソース・タイプに設定することで、トラステッド・プロファイルを管理する機能を保護できます。 profile リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.profile.createiam-identity.profile.updateiam-identity.profile.deleteiam-identity.profile.getiam-identity.profile.get_sessioniam-identity.profile.revoke_sessioniam-identity.profile.linkToResource
以下の例は、 profile リソース・タイプ・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "profile"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
コンソールでアカウント設定を管理する機能の制限
ルールのスコープを settings リソース・タイプに設定することで、アカウント設定を管理する機能を保護できます。 settings リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.account.getiam-identity.account.createiam-identity.account.updateiam-identity.account.createiam-identity.account.updateiam-identity.account.enable_idpiam-identity.account.disable_idpiam-identity.account.deleteiam-identity.session.manage
このルールを構成するには、 IAM Identity サービスをターゲットにし、ルールのスコープを 「特定のリソース」 に設定し、 Resource type 属性を選択します。 次に、値 settings を入力します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
API を使用したアカウント設定の管理機能の制限
ルールのスコープを settings リソース・タイプに設定することで、アカウント設定を管理する機能を保護できます。 settings リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.account.getiam-identity.account.createiam-identity.account.updateiam-identity.account.createiam-identity.account.updateiam-identity.account.enable_idpiam-identity.account.disable_idpiam-identity.account.deleteiam-identity.session.manage
以下の例は、 settings リソース・タイプ・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "settings"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
コンソールで ID プロバイダーを管理する機能の制限
ルールのスコープを idp リソース・タイプに設定することで、ID プロバイダー (IdPs) を管理する機能を保護できます。 ipd リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.idp.getiam-identity.idp.listiam-identity.idp.createiam-identity.idp.updateiam-identity.idp.deleteiam-identity.idp.testiam-identity.idp.metadata
このルールを構成するには、 IAM Identity サービスをターゲットにし、ルールのスコープを 「特定のリソース」 に設定し、 Resource type 属性を選択します。 次に、値 idp を入力します。 ルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
API を使用して ID プロバイダーを管理する機能の制限
ルールのスコープを idp リソース・タイプに設定することで、ID プロバイダー (IdPs) を管理する機能を保護できます。 idp リソース・タイプを有効範囲とするルールを作成すると、以下のアクションが保護されます。
iam-identity.idp.getiam-identity.idp.listiam-identity.idp.createiam-identity.idp.updateiam-identity.idp.deleteiam-identity.idp.testiam-identity.idp.metadata
以下の例は、 idp リソース・タイプ・アクションを保護する JSON 形式のルールを示しています。
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "iam-identity"
},
{
"name": "resourceType",
"value": "idp"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
ユーザー管理サービスの保護
ユーザー管理サービスには、アカウント内のユーザーの表示、ユーザーの招待と削除、およびユーザー・プロファイル設定の表示と更新を行う機能が含まれています。 このサービスに関連付けられたすべてのアクションを保護するルールを作成できます。
ユーザー管理サービスにおけるビューアーの役割は、通常、サポートケースの閲覧または管理を担当するユーザーに割り当てられます。 アカウント所有者が IAM 設定でユーザー・リストの可視性を制限した場合、ユーザーは、アカウント内の他のユーザーがオープンしたサポート Case を参照できなくなります。 しかし、ユーザー管理サービスのビューアー役割が割り当てられていれば、ユーザーはユーザー・リストの可視性設定に影響されずにアカウントの Case を表示できます。
このルールを構成するには、 ユーザー管理サービスをターゲットにします。 コンソールでルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
以下の例は、すべての user-management アクションを保護する JSON 形式のルールを示しています。
{
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "serviceName",
"value": "user-management"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
}
すべてを保護する IAMアカウント管理サービス
「すべての IAM アカウント管理サービス」 は、アカウント管理サービスのサブセットをグループ化したものです。これには、IAM ID、IAM アクセス管理、IAM ユーザー管理、および IAM グループが含まれます。 これらのサービスに関連付けられたすべてのアクションを保護するルールを作成できます。
このルールを構成するには、 「すべての IAM アカウント管理サービス」 をターゲットにします。 コンソールでルールをセットアップする手順について詳しくは、 IAM とコンテキスト・ベースの制限との統合方法 を参照してください。
以下の例は、 IAM サービス・グループに関連付けられたすべてのアクションを保護する JSON 形式のルールを示しています。
{
{
"resources": [
{
"attributes": [
{
"name": "accountId",
"value": "alphanumericAccoutnID"
},
{
"name": "service_group_id",
"value": "IAM"
}
]
}
],
"description": "",
"contexts": [],
"enforcement_mode": "enabled"
}
}