こんにちは!
今回はTencent Cloudのアカウントの考え方や権限のモデルについてまとめてみました。
AWSでは、IAM周りのお話になるかと思いますが、Tencent CloudではCloud Account Management(CAM)というサービスになります。
Account周りは考え方が複雑で、運用が難しいですが、ここをマスターして正しく活用していきたいと思います!
1.アカウントの概念
Tencent Cloudではアカウントの種類は主に2つあり、SubAccountにさらに3つの役割があります。
- RootAccount
Tencent Cloudのアカウントを作成するときに、発行されるアカウントであり、全てのリソースの操作が可能なので、通常時は使用しないことを推奨します。
また、アカウント作成する際に登録するメールアドレスは変更ができないので個人のメールアドレスではなく、メーリングリストや、共通のメールアドレスを使用しましょう! - SubAccount
Sub-user
Rootアカウントによって作成されるユーザで、利用者はこのアカウントを作成し、操作を行います。
Collaborator
rootAccountのサブアカウント的な役割を持っており、rootAccountを変更したいときに、Collaboratorの役割を持っているアカウントはrootAccountになることができます。
MessageRecipient
メッセージ受信機能のみを保持しているアカウントで、rootAccountによって設定された連絡手段でメッセージを受信します。
ドキュメント:https://intl.cloud.tencent.com/jp/products/cam
2.ポリシー
ポリシーに関しては、プリセットポリシーとカスタムポリシーがあります。
- プリセットポリシー
Tencent Cloudにて作成・管理するポリシーになります。ユーザが直接権限を編集することはできないことになっており、一般的な、AdministratorやReadOnlyの権限を用意しています。
- カスタムポリシー
利用者が独自で定義することのできる権限になります。権限を独自で設定し、ユーザに合わせてポリシーを関連させることができます。
対象のサービス、アクション、リソース、ソースIPを指定したPolicyをGUI上から作成することが可能です。
ポリシーはJSON形式でも記載することができるため、AWSでのポリシー管理と同じようなイメージになります。
ポリシードキュメント:https://intl.cloud.tencent.com/jp/document/product/598/10601
3.ロール
ロールはサービスロールとカスタムロールの2種類があります。
- サービスロール
Tencentが定義したロールで、ユーザが編集することは不可能です。
- カスタムロール
利用者自身で定義したロールで、どのような権限をロールに付与するかユーザで決めることができます。
サービス、ポリシーを選択し、カスタムロールを作成します。
Tencent Cloudにもスイッチロールのような機能が存在しており、他アカウントからの連携が可能です。
基本的な考え方は他クラウドと同じで、リソースへのアクセスはロールを設定し、アクセスキーやシークレットキーを使わないようにしましょう。
ロールドキュメント:https://intl.cloud.tencent.com/jp/document/product/598/19420
4.その他機能
セキュリティ関連
-
MFA
仮想MFA、ハードウェアMFAをサポートしています。
MFAドキュメント:https://intl.cloud.tencent.com/jp/document/product/378/32528 -
SMS認証
ログインの際に電話番号での認証コードの取得を要求することができます。
ログインプロテクション:https://intl.cloud.tencent.com/jp/document/product/378/8392
認証関連
-
シングルサインオン
Tencent CloudとIdPの双方にSAMLで設定をします。
AzureAD、OneLogin、Oktaなども利用できるので既存のシステムにも連携できそうです。
SSO関連ドキュメント:https://intl.cloud.tencent.com/jp/document/product/598/42365 -
アクセスキーの発行
APIKeyとして発行可能です。
他のクラウド同様にキーのローテーションを行うようにし、極力アクセスキーを利用するよりは、ロールを付与してサービスにアクセスするようにします。
ドキュメント:https://intl.cloud.tencent.com/jp/document/product/598/32675 -
パーミッションバウンダリー
パーミッションバウンダリーを設定することで、関連するポリシーと相互で許可されたもののみ実行可能です。
AWSでもPermissionsBoundaryがあるので、考え方としては同じですね!これを使いこなすのはなかなか難しいですよね・・・
ドキュメント:https://intl.cloud.tencent.com/jp/document/product/598/39425
5.さいごに
今回は、アカウント(CAM)についてまとめてみました!
基本的な考え方は他クラウドと変わらないので、利用する際にユーザの作成等で迷うことはないかと思います。
ただ、他のクラウドでも勉強していて感じたのですが、アカウント周りの管理、権限の設定はそもそもが難しいので、どのクラウドを使う場合でも考えて利用しないといけないです。
ちなみに、私が権限周りの勉強の際に使った本がこちらになります。
AWSベースでの考え方にはなりますが、非常に分かりやすいので参考にして頂ければ嬉しいです!!
Tencent CloudにはOrganizationのような機能もあるので、マルチアカウントでの運用もあるかと思いますので、そちらについてもまとめていきたいと思います!!