みなさま、こんにちは!
ソラコムアクセス権限管理に、アクセス権限テンプレートとして「課金情報の参照のみ許可」を新規に追加しましたのでお知らせします。
そもそもアクセス権限管理(SORACOM Access Management: 通称SAM)とは
アクセス権限テンプレートの前に、そもそもアクセス権限管理とは?についてですが、SORACOMのアカウント作成直後は、すべての操作が行える「オペレーター(ルートアカウント)」が作成され、各サービスを利用することができます。
しかし、IoT システムの構築・運用が進むと1つのアカウントではセキュリティ面などで不都合が生じるためユーザーに応じたアクセス権限の管理をしたくなります。
このためSORACOMでは「SORACOM Access Management」 と呼ばれるアクセス権限管理を用意しています。
ソラコムのコンソールやAPIを利用するメンバーごとにユーザーアカウントを作成し、それぞれ権限を設定することができます。
例えば、経理担当者には利用料金の確認権限を付与して通信に関する操作は付与しない、プロジェクトメンバーにはその逆の設定にするなど、APIや操作の単位で権限を設定することができます。
これによって、誤った操作を防ぐことができます!
アクセス権限テンプレート
アクセス権限の設定はお客様自身で設定することができるほか、いくつかテンプレートを用意しています。
今回はこのテンプレートに課金情報の参照のみ許可を追加しました。
当テンプレートを設定することで、課金情報の参照、課金詳細CSVファイルのダウンロード、データ使用量実績データを CSV 形式でダウンロードが可能となります。
当設定を行うには、ユーザーコンソールの右上の「ユーザー名」から「セキュリティ」を選択して、
対象のユーザーもしくはロールを選択してください。権限はユーザーに直接付与することもできますし、ロールに付与してから、そのロールに割り当てた複数のユーザに一括して適用することもできます。
ちなみに、ここからはテクニカルな内容になりますが、権限を確認すると、以下のようになっています。Billing、Payment、Stats と Files の操作が許可されています。
{
"statements": [
{
"api": [
"Billing:*",
"Payment:get*",
"Payment:export*",
"Payment:list*",
"Stats:*",
"Files:*"
],
"effect": "allow"
}
]
}
この操作の詳細は、APIリファレンスで確認することができます。
たとえば、"Billing:*", を許可していますが、これは、APIリファレンスでは以下のように Billing サービスの API を実行できることになります。
また、"Payment:get*", "Payment:export*", "Payment:list*", では、Payment以下のオペレーションごとに権限を設定していることになります。
なお、SORACOM サービス名と API 名は必ずしも一致しておりません(むしろサービス名と API 名は異なっています)。
SORACOM サービスで利用している API を知りたい場合は【Ask SORACOM Vol.2】 SORACOM サービスと API の対応が知りたい (2019年版)をご覧ください。
詳細は、以下に記載していますので、あわせてご確認ください。テンプレートを利用する以外にお客様自身で権限を設定することができます。
- SORACOM Access Management を使用して操作権限を管理する
- アクセス権限設定のためのパーミッション構文
- 【Ask SORACOM Vol.2】 SORACOM サービスと API の対応が知りたい (2019年版)
ぜひご利用ください!
ソラコム 江木(nori)