サービスポリシー

[更新: 2026年5月14日]

概要

サービスポリシーは、組織単位でリソース作成や操作を制御する仕組みです。
これにより、誤操作やコンプライアンス違反を未然に防ぎ、組織全体で統一されたガバナンスを実現できます。

他のポリシーとの違い

IAMポリシー、IDポリシー:

・誰が何をできるか(権限付与)
・主に人(ユーザ)の権限管理に関わる
・ユーザ・ユーザグループ・サービスプリンシパルに対して付与される

サービスポリシー:

・何を禁止/制限するか(操作制御)
・主にリソース操作の制御とガバナンスに関わる
・リソース階層(組織)に対して継承して適用される

サービスポリシーの設定手順

ルール一覧の確認

左メニューから「プロジェクト」を選択します。
プロジェクト一覧から「組織」(一覧の一番上に表示されるリンク)を選択します。

プロジェクト一覧画面

サービスポリシーのルール一覧が表示されます。
ルール名をクリックすると編集が可能です。

サービスポリシー一覧画面

ルールの編集

ルールを編集することで、対象ゾーンやサービス、会員ID認証、APIキー作成に対して「許可」または「拒否」の制御を行えます。
設定内容は即時に反映され、ユーザーがリソース操作を行う際の挙動に影響します。
適用状態とルールを設定し、保存を選択すると反映されます。

設定内容と振る舞い

ゾーン制限のルールテンプレート画面

適用状態でルールを「有効/無効」に変更できます。
無効にした場合、そのルールは適用されません。
「ゾーン制限」または「サービス制限」を選択し、それぞれの項目ごとに「すべて許可」「すべて拒否」「選択した項目を許可」「選択した項目を拒否」を指定できます。

・振る舞いの例

許可されたゾーンのみ利用可能

例:is1a のみ許可した場合、石狩第1ゾーンでのサーバ作成は可能ですが、東京ゾーンなど他のゾーンでは作成できません。

拒否されたゾーンは利用不可

例:tk1a(東京第1ゾーン)を拒否した場合、他ゾーンでは利用できますが、東京第1ゾーンでのリソース作成・操作はエラーになります。

許可されたサービスのみ利用可能

例:iaas のみ許可した場合、サーバやディスクなど IaaS 関連リソースは利用可能ですが、オブジェクトストレージや API ゲートウェイなど他サービスは利用不可になります。(既存のリソースの動作には影響はありませんが新規リソース作成・操作ができなくなります)

拒否されたサービスは利用不可

例:objectstorage を拒否した場合、オブジェクトストレージの新規作成・操作はエラーとなります。

ルールの一覧

各ルールの設定値はプレフィックスとバリューの組み合わせになります。

  • フォーマット プレフィックス:バリュー

  • is:is1a

ルール名

概要

内容

使用できるプレフィックス

使用できるバリュー

billing-restrict-discount-passport

割引パスポートの購入禁止のルールテンプレート

割引パスポートの購入を制限する

cloud-restrict-member-authentication

会員認証制限のルールテンプレート

会員IDでの認証を制限する

cloud-restrict-service

サービス制限のルールテンプレート

利用できるサービスを制限する

is

・iaas
・appliance
・common-service-item
・add-on
・workflows
・kms
・cloud-hsm
・secret-manager
・billing
・eventlog
・host-maintenance
・incident-notification
・dedicated-phy
・objectstorage
・web-accelerator
・apprun-shared
・apprun-dedicated
・koukaryoku-dok
・api-gateway
・site-guard
・monitoring-suite
・simple-ai
・backup-suite
・networking-suite
・ai-engine

cloud-restrict-zone

ゾーン制限のルールテンプレート

利用できるゾーンを制限する

is

・is1a
石狩第1ゾーン
・is1b
石狩第2ゾーン
・is1c
石狩第3ゾーン
・tk1a
東京第1ゾーン
・tk1b
東京第2ゾーン
・tk1v
サンドボックスゾーン

iaas-restrict-market-place

マーケットプレイス利用禁止のルールテンプレート

マーケットプレイスの利用を制限する

iam-disable-api-key-creation

APIキー作成禁止のルールテンプレート

APIキーの作成を制限する
(APIキーの作成ができなくなり、既存のAPIキーの更新、削除、閲覧はできるといった制限が行われます)

※ サービスポリシーの各ルールは、有効化した時点以降の操作にのみ効果が反映されます。
有効化前に実施された操作や既存の設定には影響を与えません。
(例:APIキー作成禁止を有効にしても、有効化前に作成されたAPIキーは引き続き利用できます。)

サービスの詳細

サービス識別子

リソース

iaas

・サーバ
 ・専有ホスト
・ディスク
・アーカイブ
・ISOイメージ
・スイッチ、ルータ+スイッチ
・パケットフィルタ
・ブリッジ
・ローカルルータ
・公開鍵
・スクリプト
・ノート
・アイコン
・マップ

appliance

・ロードバランサ
・VPNルータ
・データベース
・NFS
・NoSQL
・モバイルゲートウェイ(セキュアモバイルコネクト)

common-service-item

・自動バックアップ
・エンハンスドロードバランサ
・オンデマンドDB
・GSLB
・DNS
・コンテナレジストリ
・シンプル監視
・シンプルMQ
・シンプル通知
・EventBus
・ショートメッセージサービス
・モノプラットフォーム
・マネージドPKI
・オートスケール
・AWS接続
・sim(セキュアモバイルコネクト)

add-on

・Add-on

workflows

・Workflows

kms

・KMS

cloud-hsm

・クラウドHSM

secret-manager

・シークレットマネージャ

billing

・プリペイド
・割引パスポート
・クーポン
・契約リソース
・利用料金管理
・請求情報
・データパック(セキュアモバイルコネクト)

eventlog

・イベントログ

host-maintenance

・ホストメンテナンス

incident-notification

・メールアドレス
・障害発生時のメール送信

dedicated-phy

・専用サーバ PHY

objectstorage

・オブジェクトストレージ

web-accelerator

・さくらのウェブアクセラレータ

apprun-shared

・AppRun共有型

apprun-dedicated

・AppRun専有型

koukaryoku-dok

・高火力 DOK

api-gateway

・APIゲートウェイ

site-guard

・SiteGuard

monitoring-suite

・モニタリングスイート

simple-ai

・シンプルAI

backup-suite

・バックアップスイート

networking-suite

・ネットワークスイート

ai-engine

・さくらのAI Engine

ゾーン制限の対象外となるサービスおよび機能について

ゾーン制限ルール(cloud-restrict-zone)では、原則としてゾーンに紐づくリソースの作成や操作を制御します。一方で、ゾーンの概念を持たないサービスや機能については、ゾーン制限の対象外として扱われます。

ゾーン制限の対象外となるサービス

以下のサービスは、提供されるリソースや機能がゾーンに依存しないため、ゾーン制限を有効にしていても制限の対象外となります。

  • Add-on

  • さくらのAI Engine

  • APIゲートウェイ

  • AppRun(共有型/専有型)

  • 専用サーバ PHY

  • バックアップスイート

  • メール送信

  • ホストメンテナンス

  • イベントログ

  • モニタリングスイート

  • オブジェクトストレージ

  • 請求・課金関連サービス(プリペイド、クーポン、請求情報など)

※ 上記サービスでは、全ての操作がゾーン制限の判定対象外となります。
※ オブジェクトストレージは「サイト」という単位で提供されており、サービスポリシーのゾーン制限で用いられる「ゾーン」とは異なる概念です。そのため、オブジェクトストレージはゾーン制限の対象外となります。詳しくは オブジェクトストレージの「サイト」について をご確認ください。

サービス内の一部機能が対象外となるケース

一部のサービスでは、サービス全体はゾーン依存であるものの、ゾーンに依存しない性質を持つ機能のみがゾーン制限の対象外となる場合があります。
代表的な例は以下のとおりです。

  • アカウント共通の認証状態確認などの管理系機能

  • SSHキーの登録・参照など、ゾーンに依存しない公開鍵管理機能

  • ゾーン一覧など、グローバルな情報の取得機能

  • 専用サーバやVPSに関する一部の参照系・連携用機能

これらは、特定のゾーンに属するリソース操作を伴わないため、ゾーン制限の影響を受けません。

会員認証制限の制限対象の機能

機能

HTTPメソッド

URL

SIDv2クッキーの発行

POST

https://secure.sakura.ad.jp/cloud/api/iam/1.0/auth/member-login

コンパネアクセストークンの発行(SIDv2クッキー利用)

POST

https://secure.sakura.ad.jp/cloud/api/iam/1.0/compat/auth/member-token

コンパネアクセストークンの発行(リフレッシュトークン利用)

POST

https://secure.sakura.ad.jp/cloud/api/iam/1.0/compat/auth/refresh-member-token

APIキー作成禁止の制限対象の機能

機能

HTTPメソッド

URL

APIキーを作成する

POST

https://secure.sakura.ad.jp/cloud/api/iam/1.0/compat/api-keys

ドライラン適用時の挙動について

ルールをドライランモードで適用する

サービスポリシーには 「ドライラン」の適用が可能です。
本適用との違いは、ルール違反が発生した際の挙動です。

本適用ルールの場合:

・ルール違反の操作はブロックされます。
・ユーザーには「権限エラー」が返され、操作は実行されません。
・違反内容はイベントログに記録されます。

ドライラン適用ルールの場合:

・ルール違反があっても リクエストはブロックされません。
・操作は実行されますが、違反内容がイベントログに記録されます。

ドライランの設定方法

ドライランのみ適用をしたい場合、「適用状態:適用する」にしてから「ルールをドライランモードで適用する」にチェックを入れるとドライラン適用になります。
以下の図のように設定を行います。

ドライランモードでのみ適用する場合の設定方法