IBM Cloud DNS Services での IAM によるアクセス権限の管理
IBM Cloud® DNS Services では、IAM を利用して許可と認証を行います。
アカウント内の各ユーザーの DNS Services インスタンスに対するアクセス権限は、IBM Cloud Identity and Access Management (IAM) によって制御されます。 DNS Services へのアクセス権限がある、アカウント内のすべてのユーザーに、IAM 役割を定義したアクセス・ポリシーを割り当てる必要があります。 そのポリシーによって、選択したサービスまたはインスタンスのコンテキストでユーザーが実行できるアクションが決まります。 許可されるアクションは、サービス上で実行できる操作として、IBM Cloud サービスによってカスタマイズされて定義されます。 その後、操作は IAM ユーザー役割にマップされます。
ポリシーでは、さまざまなレベルのアクセス権限を付与できます。 以下に選択肢をいくつか示します。
- アカウントのすべてのサービス・インスタンスに対するアクセス。
- アカウントの個々のサービス・インスタンスに対するアクセス。
- 特定のインスタンスの特定のリソースに対するアクセス。
ロールと許可
IBM Cloud の IAM を使用して、アカウント内のユーザーとリソースのアクセス権限を管理および定義できます。
アクセス管理をシンプルにするために、DNS Services は、IBM Cloud の IAM 役割と連動しています。そのため、ユーザーに表示されるサービス画面は、ユーザーに割り当てられている役割に応じて異なります。 サービスのセキュリティー管理者は、チームのメンバーに付与したい具体的な IBM Cloud 権限に対応する IBM Cloud® DNS Services の IAM 役割を割り当てることができます。
このセクションでは、IBM Cloud のコンテキストにおける DNS Services の IAM について説明します。 IAM の詳しい説明については、IBM Cloud のアクセスの管理を参照してください。
プラットフォーム・アクセス役割
プラットフォーム・アクセス役割は、アカウント・レベルの権限を付与するために使用します。例えば、DNS Services アカウント内で IBM Cloud インスタンスを作成/削除できる権限などです。
| アクション | 役割 |
|---|---|
| IBM Cloud® DNS Services インスタンスを表示する | 管理者、オペレーター、エディター、ビューアー |
| IBM Cloud® DNS Services インスタンスを作成する | 管理者、エディター |
| IBM Cloud® DNS Services インスタンスを削除する | 管理者、エディター |
サービス・アクセス役割
サービス・アクセス役割は、サービス・レベルの権限を付与するために使用します。例えば、DNS ゾーン、リソース・レコード、許可ネットワークを表示、作成、削除できる権限などです。
サービス・アクセス役割と DNS Services 権限の対応関係を以下の表に示します。
| 役割 | 説明 | アクション |
|---|---|---|
| リーダー | リーダーは、DNS ゾーン、リソース・レコード、許可ネットワークの概要を表示できます。 リーダーは、DNS Services インスタンスのリソースの作成、削除、変更は行えません。 | DNS ゾーン、リソース・レコード、許可ネットワークを表示する。 |
| ライター | ライターは、リーダーが実行できるアクションに加えて、DNS ゾーンおよびリソース・レコードの変更が可能です。 | リーダーが実行できるすべてのアクションに加えて、DNS ゾーンおよびリソース・レコードの更新も可能。 |
| マネージャー | 管理者は、リーダーとライターが実行できるすべてのアクションに加えて、DNS ゾーンの作成/削除、リソース・レコードの作成/削除、許可ネットワークの追加/削除が可能です。 | リーダーとライターが実行できるすべてのアクションに加えて、DNS ゾーンの作成/削除も可能。 さらには、リソース・レコードの作成/削除、許可ネットワークの追加/削除も可能。 |
許可ネットワーク (VPC) 関連の IAM アクセスの処理
DNS ゾーンの許可ネットワークに VPC を追加するユーザーは、その VPC リソースに対するオペレーター役割を持っている必要があります。 この権限をユーザーに付与するには、IBM Cloud の UI で以下の割り当てを指定した IAM アクセス・ポリシーを作成します。
- **「どのタイプのアクセス権限を割り当てますか?」*で「VPC インフラストラクチャー」*を選択します。
- **「リソース・タイプ」*で「仮想プライベート・クラウド」*を選択します。
- *「VPC ID」*で対象の VPC を選択します。
VPC に対する「オペレーター」レベルのアクセス権限を付与する方法について詳しくは、VPC: IAM の概要を参照してください。