IBM Cloud Docs
IBM Cloud DNS Services での IAM によるアクセス権限の管理

IBM Cloud DNS Services での IAM によるアクセス権限の管理

IBM Cloud® DNS Services では、IAM を利用して許可と認証を行います。

アカウント内の各ユーザーの DNS Services インスタンスに対するアクセス権限は、IBM Cloud Identity and Access Management (IAM) によって制御されます。 DNS Services へのアクセス権限がある、アカウント内のすべてのユーザーに、IAM 役割を定義したアクセス・ポリシーを割り当てる必要があります。 そのポリシーによって、選択したサービスまたはインスタンスのコンテキストでユーザーが実行できるアクションが決まります。 許可されるアクションは、サービス上で実行できる操作として、IBM Cloud サービスによってカスタマイズされて定義されます。 その後、操作は IAM ユーザー役割にマップされます。

ポリシーでは、さまざまなレベルのアクセス権限を付与できます。 以下に選択肢をいくつか示します。

  • アカウントのすべてのサービス・インスタンスに対するアクセス。
  • アカウントの個々のサービス・インスタンスに対するアクセス。
  • 特定のインスタンスの特定のリソースに対するアクセス。

ロールと許可

IBM Cloud の IAM を使用して、アカウント内のユーザーとリソースのアクセス権限を管理および定義できます。

アクセス管理をシンプルにするために、DNS Services は、IBM Cloud の IAM 役割と連動しています。そのため、ユーザーに表示されるサービス画面は、ユーザーに割り当てられている役割に応じて異なります。 サービスのセキュリティー管理者は、チームのメンバーに付与したい具体的な IBM Cloud 権限に対応する IBM Cloud® DNS Services の IAM 役割を割り当てることができます。

このセクションでは、IBM Cloud のコンテキストにおける DNS Services の IAM について説明します。 IAM の詳しい説明については、IBM Cloud のアクセスの管理を参照してください。

プラットフォーム・アクセス役割

プラットフォーム・アクセス役割は、アカウント・レベルの権限を付与するために使用します。例えば、DNS Services アカウント内で IBM Cloud インスタンスを作成/削除できる権限などです。

プラットフォーム・アクセス役割
アクション 役割
IBM Cloud® DNS Services インスタンスを表示する 管理者、オペレーター、エディター、ビューアー
IBM Cloud® DNS Services インスタンスを作成する 管理者、エディター
IBM Cloud® DNS Services インスタンスを削除する 管理者、エディター

サービス・アクセス役割

サービス・アクセス役割は、サービス・レベルの権限を付与するために使用します。例えば、DNS ゾーン、リソース・レコード、許可ネットワークを表示、作成、削除できる権限などです。

サービス・アクセス役割と DNS Services 権限の対応関係を以下の表に示します。

サービス・アクセス・ロール
役割 説明 アクション
リーダー リーダーは、DNS ゾーン、リソース・レコード、許可ネットワークの概要を表示できます。 リーダーは、DNS Services インスタンスのリソースの作成、削除、変更は行えません。 DNS ゾーン、リソース・レコード、許可ネットワークを表示する。
ライター ライターは、リーダーが実行できるアクションに加えて、DNS ゾーンおよびリソース・レコードの変更が可能です。 リーダーが実行できるすべてのアクションに加えて、DNS ゾーンおよびリソース・レコードの更新も可能。
マネージャー 管理者は、リーダーとライターが実行できるすべてのアクションに加えて、DNS ゾーンの作成/削除、リソース・レコードの作成/削除、許可ネットワークの追加/削除が可能です。 リーダーとライターが実行できるすべてのアクションに加えて、DNS ゾーンの作成/削除も可能。 さらには、リソース・レコードの作成/削除、許可ネットワークの追加/削除も可能。

許可ネットワーク (VPC) 関連の IAM アクセスの処理

DNS ゾーンの許可ネットワークに VPC を追加するユーザーは、その VPC リソースに対するオペレーター役割を持っている必要があります。 この権限をユーザーに付与するには、IBM Cloud の UI で以下の割り当てを指定した IAM アクセス・ポリシーを作成します。

  1. **「どのタイプのアクセス権限を割り当てますか?」*「VPC インフラストラクチャー」*を選択します。
  2. **「リソース・タイプ」*「仮想プライベート・クラウド」*を選択します。
  3. *「VPC ID」*で対象の VPC を選択します。

VPC に対する「オペレーター」レベルのアクセス権限を付与する方法について詳しくは、VPC: IAM の概要を参照してください。