IBM Cloud Docs
VPC リソースに対するユーザー権限の付与

VPC リソースに対するユーザー権限の付与

IBM Cloud® Virtual Private Cloud では、役割ベースのアクセス制御が使用されます。これによって、アカウント管理者が、VPC リソースに対するユーザーのアクセスを制御できます。 アクセス権限は、IBM Cloud の Identity and Access Management (IAM) を使用して、個々のユーザーまたはユーザーのグループに対して割り当てることができます。

IAM アクセス・ポリシー、IAM 役割、およびアクションについて詳しくは、 VPC インフラストラクチャー・サービスの IAM アクセス権限の管理 を参照してください。

この資料では、アカウント管理者が IBM Cloud コンソールを使用して、VPC インフラストラクチャー・リソースを管理するための適切な権限を付与する方法を例示します。 以下のシナリオを取り上げます。

  • フルアクセス・シナリオ: 新規ユーザーがすべての VPC インフラストラクチャー・リソース (VPC を含む) を作成して使用できるようにするアクセス・ポリシーを割り当てます。
  • 限定アクセス・シナリオ: 既存のユーザーが仮想サーバー・インスタンスのみを作成して使用できるようにするアクセス・ポリシーを割り当てます。
  • チーム・アクセス・シナリオ: 2 つの別々のチームが、自チームに割り当てられた VPC リソースを作成して使用できるように、リソース・グループとアクセス・グループをセットアップします。

CLI または API を使用して権限を管理することもできます。 詳しくは、IBM Cloud IAM の使用方法は? を参照してください。

フルアクセス・シナリオ

このシナリオでは、新規 IBM Cloud ユーザーをアカウントに招待し、Default リソース・グループ内のすべての VPC リソースを表示、作成、および更新できるように VPC インフラストラクチャーに対するアクセス権限をそのユーザーに付与する方法を示します。

すべての VPC インフラストラクチャー・リソースに対するアクセス権限を新規ユーザーに付与するには、以下のようにします。

  1. IBM Cloudコンソールの IAM Usersページに移動し、Invite users をクリックします。
  2. **「E メール・アドレスを入力してください」**セクションに、招待するユーザーの E メール・アドレスを入力します。
  3. **「ユーザーへの追加のアクセス権限の割り当て」セクションで、「IAM サービス」**を選択し、以下のタスクを実行します。
    • **「どのタイプのアクセス権限を割り当てますか?」のリストから、「 VPC インフラストラクチャー・サービス」**を選択します。
    • **「リソース・タイプ」リストから、「すべてのリソース・タイプ」**を選択します。
    • **「プラットフォーム・アクセス」領域で、「エディター」**を選択します。
    • **「リソース・グループ・アクセス権限」領域で、「ビューアー」**を選択します。
    • **「サービス・アクセス」領域で、「コンソール管理者」**を選択します。
    • ページの最後までスクロールし、**「追加」**をクリックします。
    • **「アクセス・サマリー」サイド・パネルで、詳細を確認し、「招待」**をクリックします。

限定アクセス・シナリオ

このシナリオでは、Default リソース・グループ内の仮想サーバー・インスタンスのみを作成して管理する権限を、既存のユーザーに付与する方法を示します。 ユーザーがインスタンスを作成して浮動 IP を関連付けられるようにするには、インスタンスを作成する VPC やサブネットなどの関連リソースに対するアクセス権限もユーザーに付与する必要があります。

  1. IBM Cloudコンソールの IAM Usersページに移動し、アクセスを設定したいユーザーを選択します。
  2. **「アクセス・ポリシー」タブで、「アクセス権限の割り当て」**をクリックします。
  3. **「ユーザーへの追加のアクセス権限の割り当て」セクションで、「IAM サービス」**を選択し、以下のタスクを実行します。
    • **「どのタイプのアクセス権限を割り当てますか?」のリストから、「 VPC インフラストラクチャー・サービス」**を選択します。
    • **「対象」リストから、「リソース・グループ: Default」**を選択します。
    • **「リソース・タイプ」リストから、「すべてのリソース・タイプ」**を選択します。
    • **「プラットフォーム・アクセス」領域で、「エディター」**を選択します。
    • **「リソース・グループ・アクセス」オプションが「ビューアー」**に設定されていることを確認します。
    • **「サービス・アクセス」領域で、「コンソール管理者」**を選択します。
    • ページの最後までスクロールし、**「追加」**をクリックします。
    • **「アクセス・サマリー」サイド・ペインを確認し、「割り当て」**をクリックします。

チーム・アクセス・シナリオ

このシナリオでは、チームごとに別の VPC リソースに対するアクセス権限を持つように、アカウント管理者が権限を割り当てる方法を示します。 この例では、リソース・グループ を使用して、2 つのチームに別個のリソース・アクセスをセットアップします。 この例の目的のために、チーム間ではリソースを共有しません。

この例では、チームごとに別の VPC リソースに対するアクセス権限を与えるために、リソース・グループを作成し、アクセス・グループを作成し、適切なポリシーを割り当てるというプロセスについて説明します。

このシナリオでは、2 つの異なるプロジェクト・チームが別々の VPC を使用するようにセットアップします。 各チームが自分のチームの VPC リソースのみにアクセスできるように、アクセス権限を割り当てます。

  • 1 つ目のチームはテスト・チームです。 このチームには、test_vpcs というリソース・グループの VPC に対するアクセス権限を割り当てます。
  • 2 つ目のチームは実動チームです。 このチームには、production_vpcs というリソース・グループの VPC へのアクセス権限を割り当てます。

ここで使用する方法では、任意の数のチームに別々の VPC リソースを割り当てることができます。 ただし、すべてのリソースにはこのアカウントの同じ VPC 割り当て量が使用されます。 割り当て量および制限について詳しくは、VPC 割り当て量を参照してください。

手順 1: リソース・グループを作成する

各チームの VPC リソースを入れるリソース・グループを作成します。

  1. test_team というリソース・グループを作成します。
  2. production_team というリソース・グループを作成します。

リソース・グループの作成方法について詳しくは、リソース・グループの管理を参照してください。

デフォルトでは、アカウント管理者はリソース・グループを新規作成できます。 他のユーザーの場合は、**「すべてのアカウント管理サービス」に対する「エディター」**役割を割り当てられている必要があります。この役割により、リソース・グループの作成が許可されます。

手順 2: アクセス・グループを作成する

リソースのアクセス権限は、ユーザーのグループに割り当てることができます。 同じアクセス許可を持つユーザーのグループを、アクセス・グループ と呼びます。 このシナリオでは、アカウント管理者は、特定のタイプの VPC アクセス権限を必要とするチーム・メンバーのグループごとにアクセス・グループを 1 つ作成し、合計 4 つの固有のアクセス・グループを作成します。

以下の名前の 4 つのアクセス・グループを作成し、各アクセス・グループに適切なユーザーを割り当てます。

  • test_team_manage_vpcs
  • test_team_view_vpcs
  • production_team_manage_vpcs
  • production_team_view_vpcs

アクセス・グループの作成方法およびアクセス・グループへのユーザーの割り当て方法について詳しくは、アクセス・グループの作成を参照してください。

手順 3: アクセス・グループに IAM ポリシーを追加する

アクセス・グループごとに、必要な VPC アクセス・ポリシーを追加します。 例えば、test_team_manage_vpcs アクセス・グループのメンバーが test_team リソース・グループ内のすべての VPC リソースを作成、更新、および削除できるように、ポリシーを追加します。

  1. IBM Cloudコンソールの IAM Group UIに移動します。
  2. アクセス・グループを選択します。 まずは、test_team_manage_vpcs アクセス・グループから始めます。
  3. **「アクセス・ポリシー」タブで、「アクセス権限の割り当て」**をクリックします。
  4. **「アクセス・グループへの追加のアクセス権限の割り当て」セクションで、「IAM サービス」**を選択します。
  5. **「どのタイプのアクセス権限を割り当てますか?」のリストから、「 VPC インフラストラクチャー・サービス」**を選択します。
  6. **「対象」リストから、「リソース・グループ: test_team」**を選択します。
  7. **「リソース・タイプ」リストから、「すべてのリソース・タイプ」**を選択します。
  8. **「プラットフォーム・アクセス」領域で、「エディター」**を選択します。
  9. **「リソース・グループ・アクセス権限」領域で、「ビューアー」**を選択します。
  10. **「サービス・アクセス」領域で、「コンソール管理者」**を選択します。
  11. ページの最後までスクロールし、**「追加」**をクリックします。
  12. **「アクセス・サマリー」サイド・パネルで、詳細を確認し、「割り当て」**をクリックします。

浮動 IP リソースおよびインスタンスに自動的に接続されるブート・ボリュームは、Default リソース・グループに作成されるため、Default リソース・グループに対するアクセス・ポリシーも追加する必要があります。

デフォルトのリソースグループのアクセスポリシー
アクセス・グループ リソース・グループ リソース・タイプ プラットフォーム・アクセス・ロール サービス・アクセス・ロール
test_team_manage_vpcs デフォルト Block Storage for VPC エディター
test_team_manage_vpcs デフォルト Floating IP for VPC エディター

残りの 3 つのアクセス・グループについて、上記の手順を繰り返してアクセス・ポリシーを追加します。

残りのアクセスグループのアクセスポリシー
アクセス・グループ リソース・グループ リソース・タイプ プラットフォーム・アクセス・ロール サービス・アクセス・ロール
test_team_view_vpcs test_team すべてのリソース・タイプ ビューアー
test_team_view_vpcs デフォルト Block Storage for VPC ビューアー
test_team_view_vpcs デフォルト Floating IP for VPC ビューアー
production_team_manage_vpcs production_team すべてのリソース・タイプ エディター コンソール管理者
production_team_manage_vpcs デフォルト Block Storage for VPC エディター
production_team_manage_vpcs デフォルト Floating IP for VPC エディター
production_team_view_vpcs production_team すべてのリソース・タイプ ビューアー
production_team_view_vpcs デフォルト Block Storage for VPC ビューアー
production_team_view_vpcs デフォルト Floating IP for VPC ビューアー

これで、チームが VPC を使用するようにセットアップされました。 test_team_manage_vpcs アクセス・グループと production_team_manage_vpcs アクセス・グループのメンバーは、割り当てられたリソース・グループ (つまり、test_team リソース・グループと production_team リソース・グループ) に VPC を作成できます。

VPC または他のリソースを作成するときには、そのリソースの作成先にするリソース・グループを必ず指定してください。 リソース・グループを指定しない場合、リソースは Default リソース・グループに作成されます。

ユーザーの権限の確認

ユーザーの**「アクセス・ポリシー」**タブでポリシーを確認できます。

以下の CLI コマンドを使用すると、ユーザーに割り当てられたリソース・グループ権限をポリシー別またはアクセス・グループ別に確認できます。

ポリシー別に確認する

ibmcloud iam user-policies <username>

アクセス・グループ別に確認する

ibmcloud iam access-groups -u <username>

VPC に対する IAM アクセス・ポリシーの変更は、有効になるまでに最大で 10 分かかることがあります。