IAMポリシー

[更新: 2026年07月09日]

IAMポリシー機能についての説明です。

概要

IAMポリシー概要

IAMポリシーとは、さくらのクラウドにおけるリソースへのアクセス制御を定義するためのルールです。
ユーザやユーザグループ、サービスプリンシパルに対して「何ができるか」「どのリソースに対して操作できるか」を明示的に指定することで、利便性やセキュリティを向上させることが可能です。

IAMポリシーは、プロジェクト単位での個別設定と、組織やフォルダ単位での一括付与が可能です。
設定したIAMポリシーは階層構造に従って継承され、上位で付与した権限は下位のリソースにも適用されます。
組織・フォルダ・プロジェクトの関係については リソース管理機能 を参照ください。

注釈

  • IAMポリシーの設定は、さくらインターネット会員、またはIAMポリシー設定権限を持つロール(「オーナー」「フォルダ管理者」「組織管理者」など)が付与されたプリンシパルが行えます。

  • サービスプリンシパルは、操作可能なプロジェクトに制約があります。
    (詳しい仕様は こちら を参照ください)
    組織やフォルダに付与したIAMポリシーであっても、継承された権限が上記制約によって効果を持たない場合がある点ご注意ください。

設定方法

作成済みのプロジェクトに対してIAMポリシーを設定する手順です。
新規にプロジェクトを作成する手順は ユーザ・プロジェクト機能 のページを参照ください。

コントロールパネル操作のアクセス権限設定

  1. さくらのクラウドのホーム画面にさくらインターネット会員、またはIAMポリシー設定権限を持つロールが付与されたユーザでログイン

会員IDログイン画面
  1. 関連付けの編集を行うプロジェクトを選択

右上のプルダウンにて作成済みのプロジェクト一覧が表示されるので、IAMポリシーを変更したいプロジェクトを選択します。

プロジェクト選択
  1. 必要なIAMポリシーを設定

右上の「アクセス権の付与」をクリックし、アクセス権付与の作成画面に遷移します。この画面で「プリンシパル」と「ロール」を設定します。

アクセス権付与の設定画面

継承されたIAMポリシーの確認

プロジェクトもしくはフォルダを選択した状態でIAMポリシー一覧ページを開くと、組織やフォルダから継承されたIAMポリシーを確認することができます。
以下の例では、「リソース閲覧」は組織から、「電源操作」はフォルダから継承されていることがわかります。

継承されたIAMポリシーの確認

なおユーザでログインした場合、組織やフォルダから継承されたIAMポリシーを閲覧するには、その組織やフォルダのIAMポリシー参照権限が必要になります。
組織やフォルダから継承されたIAMポリシーの参照権限がない場合、以下のメッセージが表示されます。

IAMポリシーの設定におけるメッセージ

サービスプリンシパルの表示について

IAMポリシーを閲覧する際、IAMポリシー上でロールを付与されたサービスプリンシパルを参照する権限がない場合、該当のサービスプリンシパルは 不明なプロジェクト / サービスプリンシパルID と表示されます。

IAMポリシーの設定におけるメッセージ

これは、サービスプリンシパルは存在しているものの、そのサービスプリンシパルを閲覧する権限がないため、サービスプリンシパルの名前および所属するプロジェクト名を表示できないことを意味します。

プリンシパルとは

IAMにおける「プリンシパル(Principal)」とは、操作の主体となるユーザやシステムを指します。簡単に言えば、「誰が操作を実行するか」を表す概念です。
現在はユーザ・グループ・サービスプリンシパルの三種類になります。これは認証種別ではありません(グループでログインしたり操作したりすることはできないため)。

ロールとは

さくらのクラウドにおける「ロール(Role)」とは、個別のアクセス権限をひとまとめにしたものです。
以下の表において、特に注意書きのないロールはどの階層でも付与が可能です。

「さくらのクラウド」に関するロールにおいて、許可されるリソース操作は以下となります。

ロール

対象プロジェクト内で許可される操作

クラウドHSM管理者

・クラウドHSMの全操作

KMS管理者

・KMSの全操作

シークレットマネージャ管理者

・シークレットマネージャの全操作

リソース閲覧

・リソース閲覧

電源操作

・リソース閲覧で許可される全ての操作
・サーバ、アプライアンスの電源操作

設定編集

・電源操作で許可されるすべての操作
・請求金額の増減が発生しないリソースの作成/削除操作
・作成済みのリソースの設定変更

作成・削除

・請求金額が増減する作業を含めた全ての操作
・APIキーの発行/参照

「IAM」のオーナーロールにおいて、許可されるリソース操作は以下となります。

ロール

対象プロジェクト内で許可される操作

オーナー

・プロジェクトを管理する権限
 ・請求金額が増減する作業を含めた全ての操作
 ・APIキーの発行、参照
 ・プロジェクトの削除
 ・プロジェクトへのIAMポリシーの設定/更新

プロジェクト作成者
※ フォルダ階層以上に対してのみ付与可能です

・プロジェクトの作成

フォルダ管理者
※ フォルダ階層以上に対してのみ付与可能です

・フォルダのCRUD
・フォルダの移動
・フォルダへのIAMポリシーの参照/更新

組織管理者

・組織情報の更新
・組織へのIAMポリシーの参照/更新

サービスポリシー管理者
※ 組織階層に対してのみ付与可能です

サービスポリシーに関する全ての操作

請求情報、オブジェクトストレージ、さくらのウェブアクセラレータ、さくらの専用サーバ PHY、AppRun、高火力 DOK、APIゲートウェイ、ワークフローの各コントロールパネルへのアクセス権限は、以下のロールで付与できます。

ロール

許可される操作

請求閲覧

プロジェクトの請求情報の参照

オブジェクトストレージ

オブジェクトストレージへのアクセス

さくらのウェブアクセラレータ

さくらのウェブアクセラレータへのアクセス

さくらの専用サーバ PHY

さくらの専用サーバ PHYへのアクセス

AppRun

AppRun へのアクセス

高火力 DOK

高火力 DOKへのアクセス

APIゲートウェイ

APIゲートウェイへのアクセス

ワークフロー

ワークフローへのアクセス

「イベントログ」に関するロールにおいて、許可されるリソース操作は以下となります。

ロール

許可される操作

プロジェクトイベントログ

プロジェクトのイベントログの閲覧

管理者イベントログ
※ 組織階層に対してのみ付与可能です

管理者作業、ログイン履歴のイベントログの閲覧

それぞれのロールで行うことができる操作の一覧については アクセスレベル のページを参照ください。

「セキュリティコントロール」に関するロールにおいて、許可されるリソース操作は以下となります。

ロール

対象プロジェクト内で許可される操作

セキュリティコントロールエージェント

・セキュリティコントロール内部で使用されます。
 セキュリティコントロールを利用する際に自動生成されるサービス
 プリンシパルに対して付与されます。
 セキュリティコントロールエージェントは、セキュリティコントロ
 ールの利用を目的としたサービスプリンシパルに付与してください。
 セキュリティコントロールの利用に関係しないサービスプリンシパ
 ルに付与することは推奨していません。

セキュリティコントロール管理者

・状況の概要取得
・セキュリティコントロールの有効化状態作成/取得/更新
・評価ルール、評価結果一覧取得/情報取得
・評価の有効化/無効化
・対応チケット一覧取得/情報取得/更新
・自動アクション作成/一覧取得/情報取得/更新/削除

セキュリティコントロール運用者

・状況の概要取得
・セキュリティコントロールの有効化状態取得
・評価ルール、評価結果一覧取得/情報取得
・対応チケット一覧取得/情報取得/更新
・自動アクション一覧取得/情報取得

セキュリティコントロール閲覧者

・状況の概要取得
・セキュリティコントロールの有効化状態取得
・評価ルール、評価結果一覧取得/情報取得
・対応チケット一覧取得/情報取得
・自動アクション一覧取得/情報取得

「バックアップスイート」に関するロールにおいて、許可されるリソース操作は以下となります。

ロール

対象プロジェクト内で許可される操作

バックアップスイート管理者

バックアッププラン、スケジュール、ジョブの作成/削除/変更

バックアップスイート閲覧者

バックアッププラン、スケジュール、ジョブの閲覧

「シンプルAI」に関するロールにおいて、許可されるリソース操作は以下となります。

ロール

対象プロジェクト内で許可される操作

シンプルAI管理者

APIキーの閲覧/作成/削除/変更

シンプルAI閲覧者

APIキーの閲覧のみ