はじめに
こちらの記事は下記Advent Calendar 2024で紹介しているIBM Cloud権限設定における Context-Based Restrictions になります。
共通権限は割愛
こちらの記事に記載しているように、プラットフォーム・アクセス、サービス・アクセスの権限でそれぞれどのようなものが共通して設定されているかを紹介させて頂きました。
こちらの記事では共通部分で出現する権限を除いた各サービス毎の権限設定を紹介します。
Context-Based Restrictionsで指定可能な権限のアクセス範囲
- リソース・グループ
- リソース・タイプ
リソース・グループの指定
これは指定されたリソース・グループに所属するContext-Based Restrictionsに対応したサービスにのみアクセス制限を設定するための権限です。リソース・グループ毎に明確にアクセス制御等の管理者が異なるのであれば、分けて運用するのが良さそうです。
リソース・タイプの指定
これは現状 NetworkZone Managementしか選択できない状態です。ルールの設定ではなく、Zoneの定義だけ実行させたいケースに使えるようにも思えますが、その場合はプラットフォーム・アクセスの権限で記載しますが、Editorの権限を与えたら実現できるようにも思います。Zoneの設定だけ確認させて、ルールの設定は何か一切見せない、という場合は利用できそうな設定です。
Context-Based Restrictionsに設定された権限
プラットフォーム・アクセスの権限
※Admin : Administrator, KM : Key Manager, SCR : Service Configuration Reader
Network Zoneに関する権限
| 権限 | Viewer | Operator | Editor | Admin | KM | SCR |
|---|---|---|---|---|---|---|
| context-based-restrictions.zone.read | 〇 | 〇 | 〇 | |||
| context-based-restrictions.zone.create | 〇 | 〇 | ||||
| context-based-restrictions.zone.update | 〇 | 〇 | ||||
| context-based-restrictions.zone.delete | 〇 | 〇 |
どこからのアクセスに許可を出すか、そのネットワークゾーンの設定Editor以上であれば作成、編集が可能となっています。
ルール設定に関する権限
| 権限 | Viewer | Operator | Editor | Admin | KM | SCR |
|---|---|---|---|---|---|---|
| context-based-restrictions.account-settings.read | 〇 | 〇 | 〇 | |||
| context-based-restrictions.account-settings.update | 〇 |
編集権限はAdministratorにしか割り当てられていません。
manageの権限ではなくupdateなんだ、という突っ込みはあるのですが…
サービス・アクセスの権限
サービス・アクセスの権限設定はありません。
さいごに
Context-Based Restrictionseとして個別に設定されている権限は少なかったですね。
ただ、セキュリティに対して敏感な昨今では利用しているサービスのエンドポイントに対する保護が求められるので、Context-Based Restrictionsを実行する際に、誰にどの権限を与えるべきなのか、こちらが参考になれば幸いです。