Go to Qiita Advent Calendar 2024 Top
LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

IBM CloudAdvent Calendar 2024

Day 7
@katahiroinIBM

Internet Servicesに定義された権限

Last updated at Posted at 2024-12-11

はじめに

こちらの記事は下記Advent Calendar 2024で紹介しているIBM Cloud権限設定における Internet Services になります。

共通権限は割愛

こちらの記事に記載しているように、プラットフォーム・アクセス、サービス・アクセスの権限でそれぞれどのようなものが共通して設定されているかを紹介させて頂きました。

こちらの記事では共通部分で出現する権限を除いた各サービス毎の権限設定を紹介します。

Internet Servicesで指定可能な権限のアクセス範囲

image.png

  • リソース・グループ
  • サービス・インスタンス
  • ドメインID
  • CIS機能の適用範囲
  • sub-scope

リソース・グループの指定

これは指定されたリソース・グループに所属するInternet Servicesのみに対してアクセス権限を適用します。異なるリソース・グループのInternet Servicesに対しては別途権限を設定する必要があります。

サービス・インスタンスの指定

これは指定されたInternet Servicesのサービスインスタンスにのみ権限適用するものです。

ドメインIDの指定

これは指定されたドメインに対するInternet Servicesにのみ権限適用するものです。Internet Servicesでは複数のドメインを1つのサービスインスタンスに登録することが可能なので、サービスインスタンスの中で権限を分割する場合は必要になります。

CIS機能の適用範囲

下記添付のようにInternet Servicesの中の機能である セキュリティパフォーマンス信頼性の機能に限定して権限を適用することが可能です。
image.png

sub-scopeの指定

ここでは現在 DNS Recordのみ指定が可能で、Internet ServicesはDNSとしての機能提供も行うので、DNSの設定のみ権限付与する場合はこちらの利用が必要になります。

Internet Servicesに設定された権限

プラットフォーム・アクセスの権限

※Admin : Administrator, KM : Key Manager, SCR : Service Configuration Reader

権限 Viewer Operator Editor Admin KM SCR
internet-svcs.performance.read
internet-svcs.reliability.read
internet-svcs.security.read
internet-svcs.zones.read

プラットフォーム・アクセスは基本となる共通部分の採用がベースになっており、サービス固有の権限はServoce Configuration Readerにのみ権限付与となっていました。

サービス・アクセスの権限

権限 Reader Writer Manager
internet-svcs.performance.read
internet-svcs.performance.update
internet-svcs.performance.manage
internet-svcs.reliability.read
internet-svcs.reliability.update
internet-svcs.reliability.manage
internet-svcs.security.read
internet-svcs.security.update
internet-svcs.security.manage
internet-svcs.zones.read
internet-svcs.zones.update
internet-svcs.zones.manage

サービス・アクセスについては全体でこの権限数しかなく、パフォーマンスや信頼性といった機能ごとに、Writerは変更権限のみ、作成や削除はManager権限が必要だ、ということがここから読み取れます。

細かな役割の指定が無いので、特定の権限のみ与えたい場合は、アクセス範囲の機能をうまくつかう必要があります。

さいごに

Internet Servicesとして個別に設定されている権限はあまり多くなかったですね。
ネットワークやセキュリティを担うサービスなので、アクセス権限はあまり不用意に広めず限定的にしたいところですが、それに応じた役割があまりないので、うまくアクセス範囲と組み合わせて適切な権限設定の実現にこちらの記事が参考になると幸いです。

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?