サービスポリシー機能

[更新: 2025年10月30日]

概要

サービスポリシーは、組織単位でリソース作成や操作を制御する仕組みです。これにより、誤操作やコンプライアンス違反を未然に防ぎ、組織全体で統一されたガバナンスを実現できます。

IAMポリシーとの違い

IAMポリシー:

・誰が何をできるか(権限付与)
・主に人(ユーザ)の権限管理に関わる
・ユーザーやグループに対して付与される

サービスポリシー:

・何を禁止/制限するか(操作制御)
・主にリソース操作の制御とガバナンスに関わる
・リソース階層(組織)に対して継承して適用される

サービスポリシーの設定手順

ルール一覧の確認

左メニューから「プロジェクト」を選択します。

プロジェクト一覧から「組織」(一覧の一番上に表示されるリンク)を選択します。

プロジェクト一覧画面

サービスポリシーのルール一覧が表示されます。ルール名をクリックすると編集が可能です。

サービスポリシー一覧画面

ルールの編集

ルールを編集することで、対象ゾーンやサービスに対して「許可」または「拒否」の制御を行えます。設定内容は即時に反映され、ユーザーがリソース操作を行う際の挙動に影響します。

適用状態とルールを設定し、保存を選択すると反映されます。

設定内容と振る舞い

ゾーン制限のルールテンプレート画面

適用状態でルールを「有効/無効」に変更できます。無効にした場合、そのルールは適用されません。

「ゾーン制限」または「サービス制限」を選択し、それぞれの項目ごとに「すべて許可」「すべて拒否」「選択した項目を許可」「選択した項目を拒否」を指定できます。

・振る舞いの例(ゾーン制限の場合)

許可されたゾーンのみ利用可能

例:is1a のみ許可した場合、石狩第1ゾーンでのサーバ作成は可能ですが、東京ゾーンなど他のゾーンでは作成できません。

シークレット値の最大サイズ

例:東京ゾーン(tk1a)を拒否した場合、他ゾーンでは利用できますが、東京ゾーンでのリソース作成・操作はエラーになります。

許可されたサービスのみ利用可能

例:iaas のみ許可した場合、サーバやディスクなど IaaS 関連リソースは利用可能ですが、オブジェクトストレージや API ゲートウェイなど他サービスは利用不可になります。(既存のリソースの動作には影響はありませんが新規リソース作成・操作ができなくなります)

拒否されたサービスは利用不可

例:objectstorage を拒否した場合、オブジェクトストレージの新規作成・操作はエラーとなります。

ルールの一覧

各ルールの設定値はプレフィックスとバリューの組み合わせになります。

  • フォーマット プレフィックス:バリュー

  • is:is1a

ルール名

概要

内容

使用できるプレフィックス

使用できるバリュー

cloud-restrict-zone

ゾーン制限のルールテンプレート

利用できるゾーンを制限する

is

・is1a
石狩第1ゾーン
・is1b
石狩第2ゾーン
・is1c
石狩第3ゾーン
・tk1a
東京第1ゾーン
・tk1b
東京第2ゾーン
・tk1v
サンドボックスゾーン

cloud-restrict-service

サービス制限のルールテンプレート

利用できるサービスを制限する

is

・iaas
・appliance
・common-service-item
・add-on
・workflows
・kms
・cloud-hsm
・secret-manager
・billing
・eventlog
・host-maintenance
・incident-notification
・dedicated-phy
・objectstorage
・web-accelerator
・apprun-shared
・koukaryoku-dok
・api-gateway
・site-guard
・monitoring-suit

サービスの詳細

サービス識別子

リソース

iaas

・サーバ
 ・専有ホスト
・ディスク
・アーカイブ
・ISOイメージ
・スイッチ、ルータ+スイッチ
・パケットフィルタ
・ブリッジ
・ローカルルータ
・公開鍵
・スクリプト
・ノート
・アイコン
・マップ

appliance

・ロードバランサ
・VPNルータ
・データベース
・NFS
・NoSQL
・モバイルゲートウェイ(セキュアモバイルコネクト)

common-service-item

・自動バックアップ
・エンハンスドロードバランサ
・エンハンスドDB
・GSLB
・DNS
・コンテナレジストリ
・シンプル監視
・シンプルMQ
・シンプル通知
・EventBus
・ショートメッセージサービス
・モノプラットフォーム
・マネージドPKI
・オートスケール
・AWS接続
・sim(セキュアモバイルコネクト)

add-on

・Add-on

workflows

・Workflows

kms

・KMS

cloud-hsm

・クラウドHSM

secret-manager

・シークレットマネージャ

billing

・プリペイド
・割引パスポート
・クーポン
・契約リソース
・利用料金管理
・請求情報
・データパック(セキュアモバイルコネクト)

eventlog

・イベントログ

host-maintenance

・ホストメンテナンス

incident-notification

・メールアドレス
・障害発生時のメール送信

dedicated-phy

・専用サーバ PHY

objectstorage

・オブジェクトストレージ

web-accelerator

・ウェブアクセラレータ

apprun-shared

・AppRun共有型

koukaryoku-dok

・高火力 DOK

api-gateway

・APIゲートウェイ

site-guard

・SiteGuard

monitoring-suit

・モニタリングスイート

ドライラン適用時の挙動について

ルールをドライランモードで適用する

サービスポリシーには 「ドライラン」の適用が可能です。本適用との違いは、ルール違反が発生した際の挙動です。

本適用ルールの場合:

・ルール違反の操作はブロックされます。
・ユーザーには「権限エラー」が返され、操作は実行されません。
・違反内容はイベントログに記録されます。

ドライラン適用ルールの場合:

・ルール違反があっても リクエストはブロックされません。
・操作は実行されますが、違反内容がイベントログに記録されます。