Tencent Cloudアカウントの考え方について

こんにちは！

今回はTencent Cloudのアカウントの考え方や権限のモデルについてまとめてみました。
AWSでは、IAM周りのお話になるかと思いますが、Tencent CloudではCloud Account Management（CAM）というサービスになります。

Account周りは考え方が複雑で、運用が難しいですが、ここをマスターして正しく活用していきたいと思います！

1．アカウントの概念

Tencent Cloudではアカウントの種類は主に2つあり、SubAccountにさらに3つの役割があります。

• RootAccount
  Tencent Cloudのアカウントを作成するときに、発行されるアカウントであり、全てのリソースの操作が可能なので、通常時は使用しないことを推奨します。
  また、アカウント作成する際に登録するメールアドレスは変更ができないので個人のメールアドレスではなく、メーリングリストや、共通のメールアドレスを使用しましょう！
• SubAccount
  Sub-user
  Rootアカウントによって作成されるユーザで、利用者はこのアカウントを作成し、操作を行います。
  Collaborator
  rootAccountのサブアカウント的な役割を持っており、rootAccountを変更したいときに、Collaboratorの役割を持っているアカウントはrootAccountになることができます。
  MessageRecipient
  メッセージ受信機能のみを保持しているアカウントで、rootAccountによって設定された連絡手段でメッセージを受信します。

ドキュメント：https://intl.cloud.tencent.com/jp/products/cam

2．ポリシー

ポリシーに関しては、プリセットポリシーとカスタムポリシーがあります。

• プリセットポリシー
  Tencent Cloudにて作成・管理するポリシーになります。ユーザが直接権限を編集することはできないことになっており、一般的な、AdministratorやReadOnlyの権限を用意しています。

• カスタムポリシー
  利用者が独自で定義することのできる権限になります。権限を独自で設定し、ユーザに合わせてポリシーを関連させることができます。
  対象のサービス、アクション、リソース、ソースIPを指定したPolicyをGUI上から作成することが可能です。
  ポリシーはJSON形式でも記載することができるため、AWSでのポリシー管理と同じようなイメージになります。

ポリシードキュメント：https://intl.cloud.tencent.com/jp/document/product/598/10601

3．ロール

ロールはサービスロールとカスタムロールの2種類があります。

• サービスロール
  Tencentが定義したロールで、ユーザが編集することは不可能です。

• カスタムロール
  利用者自身で定義したロールで、どのような権限をロールに付与するかユーザで決めることができます。

サービス、ポリシーを選択し、カスタムロールを作成します。

Tencent Cloudにもスイッチロールのような機能が存在しており、他アカウントからの連携が可能です。
基本的な考え方は他クラウドと同じで、リソースへのアクセスはロールを設定し、アクセスキーやシークレットキーを使わないようにしましょう。

ロールドキュメント：https://intl.cloud.tencent.com/jp/document/product/598/19420

4．その他機能

セキュリティ関連

• MFA
  仮想MFA、ハードウェアMFAをサポートしています。
  MFAドキュメント：https://intl.cloud.tencent.com/jp/document/product/378/32528

• SMS認証
  ログインの際に電話番号での認証コードの取得を要求することができます。
  ログインプロテクション：https://intl.cloud.tencent.com/jp/document/product/378/8392

認証関連

• シングルサインオン
  Tencent CloudとIdPの双方にSAMLで設定をします。
  AzureAD、OneLogin、Oktaなども利用できるので既存のシステムにも連携できそうです。
  SSO関連ドキュメント：https://intl.cloud.tencent.com/jp/document/product/598/42365

• アクセスキーの発行
  APIKeyとして発行可能です。
  他のクラウド同様にキーのローテーションを行うようにし、極力アクセスキーを利用するよりは、ロールを付与してサービスにアクセスするようにします。
  ドキュメント：https://intl.cloud.tencent.com/jp/document/product/598/32675

• パーミッションバウンダリー
  パーミッションバウンダリーを設定することで、関連するポリシーと相互で許可されたもののみ実行可能です。
  AWSでもPermissionsBoundaryがあるので、考え方としては同じですね！これを使いこなすのはなかなか難しいですよね・・・
  ドキュメント：https://intl.cloud.tencent.com/jp/document/product/598/39425
  

5．さいごに

今回は、アカウント（CAM）についてまとめてみました！

基本的な考え方は他クラウドと変わらないので、利用する際にユーザの作成等で迷うことはないかと思います。

ただ、他のクラウドでも勉強していて感じたのですが、アカウント周りの管理、権限の設定はそもそもが難しいので、どのクラウドを使う場合でも考えて利用しないといけないです。

ちなみに、私が権限周りの勉強の際に使った本がこちらになります。
AWSベースでの考え方にはなりますが、非常に分かりやすいので参考にして頂ければ嬉しいです！！

Tencent CloudにはOrganizationのような機能もあるので、マルチアカウントでの運用もあるかと思いますので、そちらについてもまとめていきたいと思います！！