IAMポリシー
[更新: 2025年12月11日]
IAMポリシー機能についての説明です。
概要
IAMポリシーとは、さくらのクラウドにおけるリソースへのアクセス制御を定義するためのルールです。
ユーザやユーザグループ、サービスプリンシパルに対して「何ができるか」「どのリソースに対して操作できるか」を明示的に指定することで、利便性やセキュリティを向上させることが可能です。
注釈
IAMポリシーの設定は、さくらインターネット会員、またはIAMポリシー設定権限を持つロールが付与されたユーザとしてログインした場合のみ行えます。
設定方法
作成済みのプロジェクトに対してIAMポリシーを設定する手順です。新規にプロジェクトを作成する手順は ユーザ・プロジェクト機能 のページを参照ください。
コントロールパネル操作のアクセス権限設定
さくらのクラウドのホーム画面にさくらインターネット会員、またはIAMポリシー設定権限を持つロールが付与されたユーザでログイン
IAMポリシーの設定変更は管理者でログインを行なった場合のみ可能なため、会員IDでログインします。
関連付けの編集を行うプロジェクトを選択
右上のプルダウンにて作成済みのプロジェクト一覧が表示されるので、IAMポリシーを変更したいプロジェクトを選択します。
必要なIAMポリシーを設定
右上の「アクセス権の付与」をクリックし、アクセス権付与の作成画面に遷移します。この画面で「プリンシパル」と「ロール」を設定します。
プリンシパルとは
IAMにおける「プリンシパル(Principal)」とは、操作の主体となるユーザやシステムを指します。簡単に言えば、「誰が操作を実行するか」を表す概念です。
現在はユーザ・グループ・サービスプリンシパルの三種類になります。これは認証種別ではありません(グループでログインしたり操作したりすることはできないため)。
ロールとは
さくらのクラウドにおける「ロール(Role)」とは、個別のアクセス権限をひとまとめにしたものです。
さくらのクラウドにおいてリソース操作に関するロールは以下のとおりです。
ロール |
対象プロジェクト内で許可される操作 |
|---|---|
KMS管理者 |
・KMSの全操作 |
クラウドHSM管理者 |
・クラウドHSMの全操作 |
シークレットマネージャ管理者 |
・シークレットマネージャの全操作 |
リソース閲覧 |
・リソース閲覧 |
電源操作 |
・リソース閲覧で許可される全ての操作 |
設定編集 |
・電源操作で許可されるすべての操作 |
作成・削除 |
・請求金額が増減する作業を含めた全ての操作 |
オーナーロールにおいて許可されるリソース操作は以下のとおりです。
ロール |
対象プロジェクト内で許可される操作 |
|---|---|
オーナー |
・プロジェクトを管理する権限 |
請求情報とイベントログの閲覧、オブジェクトストレージ、さくらのウェブアクセラレータ、さくらの専用サーバ PHY、AppRun、高火力 DOK、APIゲートウェイ、ワークフローの各コントロールパネルへのアクセス権限は、以下のロールで付与できます。
権限名 |
許可される操作 |
|---|---|
請求閲覧権限 |
プロジェクトの請求情報の参照 |
オブジェクトストレージ |
オブジェクトストレージへのアクセス |
さくらのウェブアクセラレータ |
さくらのウェブアクセラレータへのアクセス |
さくらの専用サーバ PHY |
さくらの専用サーバ PHYへのアクセス |
AppRun CR |
AppRun へのアクセス |
高火力 DOK |
高火力 DOKへのアクセス |
APIゲートウェイ |
APIゲートウェイへのアクセス |
ワークフロー |
ワークフローへのアクセス |
イベントログ |
イベントログの参照 |
セキュリティコントロールに関するロールにおいて許可されるリソース操作は以下のとおりです。
ロール |
対象プロジェクト内で許可される操作 |
|---|---|
セキュリティコントロール管理者 |
・状況の概要取得 |
セキュリティコントロール運用者 |
・状況の概要取得 |
セキュリティコントロール閲覧者 |
・状況の概要取得 |
セキュリティコントロールエージェント |
・セキュリティコントロール内部で使用されます。 |
それぞれの権限で行うことができる権限の一覧については アクセスレベル のページを参照ください。