鍵へのアクセス権限の付与
IBM® Key Protect IAM アクセス・ポリシーの作成および変更によって、IBM Cloud アカウント内の IBM Cloud リソースへのさまざまなレベルのアクセス権限を有効にすることができます。
アカウント管理者は、内部アクセス制御要件に基づいて、ユーザー、サービスID、アクセスグループすべてのグループ・メンバーに同じアクセス権限を割り当てるためにアクセス・ポリシーのサブジェクトとして使用される、グループとして編成されたユーザーおよびサービス ID のセット。の アクセスポリシータイプを決定する必要があります。 これらのアクセス制御は、インスタンスから個々の鍵まで、複数のレベルで割り当てることができます。 例えば、可能な限り最小限のスコープでの Key Protect へのアクセス権限をユーザーに付与する場合、インスタンス内の単一鍵へのアクセス権限を割り当てることができます。
インスタンス内のすべての鍵へのアクセス権限の付与
IBM Cloud IAM 役割と Key Protect アクションの対応関係については、役割と許可を参照してください。
IBM Cloud コンソールを使用して Key Protect インスタンス内の鍵へのアクセス権限を付与するには、以下のようにします。
-
メニュー・バーから、「管理」>**「アクセス (IAM)」をクリックし、「ユーザー」**を選択して、アカウント内の既存のユーザーを参照します。
-
いずれかのテーブル行を選択し、「⋯」アイコンをクリックして、そのユーザーのオプションのリストを開きます。
-
オプション・メニューから**「アクセス権限の割り当て」**をクリックします。
-
「アクセス権限の割り当て」 をクリックします。
-
グループにアクセス権限を割り当てる (**「アクセス・グループ」をクリック) か、個人にアクセス権限を割り当てる (「アクセス・ポリシー」をクリック) かを選択します。 アクセス・グループを見つけるには、左側のナビゲーションの「アクセスの管理」セクションで「アクセス・グループ」**をクリックします。
-
サービスのリストから**「Key Protect」を選択し、「次へ」をクリックして「リソース」**セクションを開きます。
-
「リソース」セクションで、ラジオ・ボタンを使用して、アクセス権限をすべてのリソースに割り当てるか、特定のリソースにのみ割り当てるかを選択します。 「特定のリソース」 を選択すると、属性タイプ (例えば、ストリングが ID と等しい鍵リング ID) を指定するように求められます。 **「条件の追加」ボックスを使用すると、次のステップで作成するポリシーに属性を追加できます。 準備ができたら、「次へ」をクリックしてポリシーを作成します。 サービスのリストに戻る場合は、「編集」**をクリックできることに注意してください。
-
「役割とアクセス権限」セクションで、選択したリソースにアクセス権限を割り当てることができます。 サービス・アクセス役割とプラットフォーム・アクセス役割の違いについて詳しくは、プラットフォーム役割とサービス役割を確認してください。 選択オプションの右側のボックスが動的に更新され、選択したオプションを保持する場合に割り当てられるアクセスの要約が表示されます。 表示されたアクセスのリストをよく確認してください。 ポリシーの JSON バージョンを表示 (およびコピー) するには、**「ポリシーの作成」**ヘッダーの右側にある
[UI|JSON]
というマークが付いたタブでJSON
をクリックします。 -
ポリシーに問題がなければ、「追加」をクリックします。 これにより、選択したリソースに対して選択したポリシーが作成されます。 「アクセスの要約」列には、作成されたポリシーが表示されます。 エラーが発生した場合は、このセクションでアクセス権限を削除または編集できます。
インスタンス内の単一の鍵へのアクセス権限の付与
鍵 API のリストを呼び出しても、ユーザーが個々のアクセス権限を割り当てた鍵は返されません (つまり、ユーザーがそれらの鍵に対するアクセス権限を持っていて、ユーザーが呼び出しを行った場合でも、自分だけはアクセスできます)。 ただし、この API を呼び出すと、アクセスできる鍵リングの鍵が返されます。
インスタンス・レベルを超えてアクセス権限を割り当てる必要がある場合は、特定の鍵または鍵リングにアクセス権限を割り当てることを選択できます。
特定の鍵のアクセス・ポリシーを作成するには、以下を行う必要があります。
ステップ 1. キー ID のリトリーブ
誰かにアクセス権限を付与する対象の鍵に関連付けられている固有 ID を取得します。
以下の方法で、特定の鍵の ID を取得できます。
-
Key Protect GUI にアクセス して、Key Protect インスタンスに保管されている鍵を 表示します。
-
Key Protect API を使用して、鍵のリストを鍵についてのメタデータと一緒に取得します。
ステップ 2 アクセス・ポリシーの作成
以下のようにして、インスタンスと鍵をターゲットにすることにより、鍵のアクセス・ポリシーを作成できます。
-
メニュー・バーから、「管理」>**「アクセス (IAM)」をクリックし、「ユーザー」**を選択して、アカウント内の既存のユーザーを参照します。
-
いずれかのテーブル行を選択し、「⋯」アイコンをクリックして、そのユーザーのオプションのリストを開きます。
-
オプション・メニューから**「アクセス権限の割り当て」**をクリックします。
-
**「ユーザーへのアクセス権限の割り当て」**をクリックします。
-
サービスのリストから、**「Key Protect」**を選択します。
-
Key Protect インスタンスのリストから、 アクセス権限を割り当てる対象の鍵を含んでいる Key Protect インスタンスを選択します。
-
**「選択された属性に基づくリソース」**を選択します。
-
「インスタンス ID」 ボックスをクリックし、ドロップダウン・リストから、鍵リングが存在するインスタンスを選択します。
-
「リソース・タイプ」・ボックスをクリックし、
key
と入力します。 -
**「リソース ID」**ボックスをクリックして、Key Protect サービスによって鍵に割り当てられた ID を入力します。
-
ユーザーにアクセス権限を割り当てるプラットフォーム・アクセス役割とサービス・アクセス役割の組み合わせを選択します。
-
追加 をクリックします。
-
必要に応じて、引き続きプラットフォーム・アクセス役割とサービス・アクセス役割を追加します。 完了したら、**「割り当て」**をクリックします。

インスタンス内の鍵リングへのアクセス権限の付与
鍵リングとは、サービス・インスタンス内にある鍵の集合であり、IAM のアクセス・ポリシーを使用してアクセスを制限できます。 鍵リングについては、 鍵のグループ化を参照してください。
Key Protect インスタンス内の鍵リングに対するアクセス権限の付与は、IBM Cloud コンソール、IAM API、または IAM CLI を使用して実行できます。
IBM Cloud IAM 役割と Key Protect アクションの対応関係については、役割と許可を参照してください。
コンソールを使用したインスタンス内の鍵リングへのアクセス権限の付与
コンソールを使用して鍵リングに対するアクセス権限を割り当てるには、以下のようにします。
-
メニュー・バーから、「管理」>**「アクセス (IAM)」をクリックし、「ユーザー」**を選択して、アカウント内の既存のユーザーを参照します。
-
いずれかのテーブル行を選択し、「⋯」アイコンをクリックして、そのユーザーのオプションのリストを開きます。
-
オプション・メニューから**「アクセス権限の割り当て」**をクリックします。
-
**「ユーザーへのアクセス権限の割り当て」**をクリックします。
-
**「IAM サービス」**タイルをクリックします。
-
サービスのリストから、**「Key Protect」**を選択します。
-
**「選択された属性に基づくリソース」**を選択します。
-
「インスタンス ID」 ボックスをクリックし、ドロップダウン・リストから、鍵リングが存在するインスタンスを選択します。
-
「鍵リング ID」 ボックスをクリックして、鍵リングの名前を入力します。 鍵リング ID は大/小文字の区別があり、正確である必要があることに注意してください。
-
このユーザーに持たせるプラットフォームおよびサービスのアクセス役割の組み合わせを選択します。
-
追加 をクリックします。
-
必要に応じてプラットフォーム・アクセス役割とサービス・アクセス役割の追加を続け、終了したら**「割り当て」**をクリックします。 ユーザーがインスタンス内の鍵リングをリスト、作成、および削除するには、少なくともインスタンス全体に対する_リーダー_・アクセス権限をユーザーに割り当てる必要があることに注意してください。

特定の機能に対するアクセス権限の付与
Key Protect の鍵のパージ機能を使用するには、KeyPurge
という特定の役割を付与される必要があります。この役割は、デフォルトではアカウント所有者でさえ有効にならないからです。 このトピックの他のセクションにリストされているステップに従って、すべての鍵または特定の鍵についてこのアクセス権限を付与したら、図に示すように_鍵パージ_の役割を選択します。

次のステップ
Key Protect APIやKey Protect CLIプラグインを使ってアクセスポリシーを作成することもできます。