概念
このトピックでは、IAMの概念の概要を説明します。
認証
認証はユーザーまたはアプリを識別し、ユーザーまたはアプリがアクセスできるHEREリソースとサービスを決定します。たとえば、ユーザー名とパスワードを使用してHEREプラットフォームにログインすると、承認を受けているHEREリソースとサービスにアクセスできます。また、認証プロセスではAPIキー、OAuth 2.0トークン、OIDCトークンを使用してIDを認証するオプションも提供されます。
詳細については、「認証を管理する」を参照してください。
承認
承認は、ユーザーまたはアプリがアクセスできるHEREリソースとサービスで何ができるかを指定します。承認レベルは、エンティティ、権限、役割、リソースを使用して設定します。詳細については、「承認を管理する」を参照してください。
エンティティ
IAMでは、エンティティが特定の権限セット、IDの集合体、リソースを定義します。
次の表に、IAMを構成するエンティティの定義を示します。
| エンティティ | 定義 |
|---|---|
| 組織 | 同じセキュリティ名前空間内のすべての IAM エンティティ、HERE サービスおよびリソースが含まれます。 |
| ID | ユーザーまたはアプリの識別子。組織管理者と組織招待主は、新しいユーザーを組織に招待できます。ユーザーの詳細については、「ユーザーを招待する」および「ユーザーを管理する」を参照してください。アプリの詳細については、「アプリを管理する」を参照してください。 |
| グループ | ID の集合体。すべての ID でグループを作成できます。組織管理者とグループ管理者のどちらもグループ メンバーシップを管理できます。詳細については、「グループを管理する」を参照してください。 |
| プロジェクト | アクセスコントロールされたリソース (カタログ、パイプライン、スキーマ、サービスなど) の集合体です。すべての ID で新しいプロジェクトを作成できます。組織管理者とプロジェクトの管理者のどちらもプロジェクトを管理できます。詳細については、「プロジェクトを管理する」を参照してください。 |
| リソース | HERE リソースは一意の HERE リソースネーム (HRN) に基づいて識別されます。 |
| 権限 | HEREサービスおよびリソースに対するきめ細かいアクセス制御を定義するためのルール。権限を管理して、すべてのIDとグループに割り当てることができます。 |
| 役割 | IDに割り当てられた特定の権限のセット。 |
| ポリシーとプラン | アクセスポリシーとプランを介した権限のバンドル。 |
| リソースポリシーとリソースプランのリソース | プロジェクトへのアクセス制御のバンドル。 |
| アクセスフィルター | 特定の条件に基づいたリソースへのアクセス制限。 |
権限
権限を使用すると、HEREサービスおよびリソースへのアクセスを制御できます。権限を管理し、任意のIDまたはグループに割り当てることができます。
次の表に、IAM権限ステートメントで使用されるパラメーターの定義を示します。
| パラメーター | 定義 |
|---|---|
id | 権限の一意の識別子。 |
serviceID | サービスの一意の識別子。serviceIdの代わりにサービスIDエイリアスを使用できます。 |
effect | 権限を"allow"または"deny"のいずれかに設定します。 |
action | 権限を規定するアクション。各サービスには独自のアクションが定義されています。 |
resource | 権限に関連付けられたリソース。各リソースは一意のHERE Resource Name (HRN) を使用します。 |
次のJSONコードブロックは、IAM権限ステートメントの構造の例であり、権限設定を表します。
{
"id": "PERM-5d595ef9-d081-4ea5-b404-4c7bd816aec6",
"serviceId": "account",
"effect": "allow",
"action": "read",
"resource": "hrn:here:account::olp-here:app/0A1B2C3D4E5F6G"
}役割
「最小権限の原則」に従って、レルム内のユーザーまたはアプリに最低限必要なアクセスレベルのみを付与する必要があります。IAM役割を使用すると、次の表に示すように、このアクセスをカスタマイズおよび拡張できます。
| 役割 | 権限 |
|---|---|
| ユーザー | 他の役割が選択されていない場合のデフォルト役割。これには、ユーザーやアプリなど、既存の役割が関連付けられていない招待されたIDが含まれます。ご利用のレルムのサブスクリプションに基づいて、デフォルトポリシーにより、組織内のすべてのIDの表示、グループの作成、アプリやプロジェクトの作成などの権限が追加で付与される場合があります。 |
| Marketplaceコンシューマー | HERE Marketplaceで製品やサービスを表示、購入、サブスクライブできます。 |
| Marketplaceプロバイダー | 組織管理者の役割も割り当てられている場合は、HERE Marketplaceでリストを作成して公開します。 |
| 組織管理者 | •新規ユーザーを招待する •ユーザーを管理する •グループ、プロジェクト、アクセスを管理する1つの組織内に複数の管理者を設定でき、各組織には1人以上の管理者が必要です。組織管理者の数を制限し、代わりにグループ管理者によるグループ単位でのユーザー管理を行うことをお勧めします。 |
| 組織招待主 | 新規ユーザーを招待します。 |
| リソースマネージャー | •すべてのアプリを管理する •すべてのリソースを管理する 組織管理者はアクセスマネージャーのユーザープロフィールページで[すべてのアプリおよびリソースを管理]トグルを切り替えると、リソース管理者になれます。 |
| グループ管理者 | グループ管理者が管理者に指定されているグループを管理します。 |
| IdPマネージャー | 組織内のIdP情報を設定または変更します。 |
| プロジェクト管理者 | プロジェクト管理者が管理者に指定されているプロジェクトを管理します。 |
| モニタリングダッシュボードエディター | •モニタリングダッシュボードを編集する •通知チャネルを編集する •アラートを編集する |
| ライセンス管理者 | 組織のライセンスを管理します。 |
| レルム間の信頼の管理者 | リソースを共有する目的で他の組織との信頼を構築します。 |
| 制限付きアクセス | プラットフォームへのアクセスが制限されており、組織が利用可能なサブスクライブされたHEREサービスへのアクセスに対して読み取り権限のみを許可します。制限付きアクセスのユーザーは、これらのサブスクライブされたサービスにアクセスできますが、管理プラットフォームにはアクセスできません。 |
| 制限されたアプリアクセス | この役割を使用すると、パートナー組織は顧客組織による既存のアプリIDの追加、削除、変更を防止できます。これは、組織のアプリIDに現在割り当てられているサブスクリプションの管理、サブスクリプションの追加の防止、アプリIDの誤削除を防ぐのに役立ちます。RestrictedAppAccess役割を使用すると、顧客組織が使用状況やアプリIDを表示するなどの一般的なタスクを実行できます。ただし、顧客組織にはRestrictedAppAccess役割のみを適用し、他の役割は適用しないでください。複数の役割を組み合わせることで、招待されたユーザーにすべての役割に適用される権限が付与され、アプリIDの追加、編集、削除に関する制限が無効になります。 |
HERE Resource Name
IAMはHERE Resource Name (HRNs) を使用します。これは、異なるサービスやアカウント間でリソースを参照するための標準化された方法です。HRNsは一意のHERE認証であり、以下の構造に従います。
次のコードブロックは、HRN文字列の形式を定義します。
hrn:{partition}:{service}::{account}:{resource}| HRNパラメーター | 定義 |
|---|---|
partition | エンティティのデプロイ地域。デフォルト値は"here" (中国を除くすべての地域) で、中国の値は"here-cn"です。 |
service | エンティティのサービス名。指定できる値は"account"、"authorization"、"iam"です。 |
account | エンティティの組織/realm。 |
resource | リソースの一意の識別子。 |
次の表は、現在のすべてのIAM HRNSのリストです。
| リソースタイプ | HRN形式 |
|---|---|
| 組織/Realm | hrn:here:account::{org}:realm/{orgId} |
| ユーザー | hrn:here:account::{org}:user/{userId} |
| 招待 | hrn:here:authorization::{org}:invite/{inviteId} |
| アプリ | hrn:here:account::{org}:app/{appId} |
| APIキー | hrn:here:account::{org}:apikey/{apikeyId} |
| アクセスキー | hrn:here:account::{org}:accesskey/{accesskeyId} |
| シークレット | hrn:here:account::{org}:secret/{secretId} |
| IDプロバイダー | hrn:here:account::{org}:identityProviders/{identityProviderId} |
| デバイス | hrn:here:account::{org}:device/{deviceId} |
| グループ | hrn:here:authorization::{org}:group/{groupId} |
| プロジェクト | hrn:here:authorization::{org}:project/{projectId} |
| プロジェクトポリシー | hrn:here:authorization::{org}:project/{projectId}:policy/{policyId} |
| サービス | hrn:here:authorization::{org}:serviceDescriptor/{serviceId} |
| 役割 | hrn:here:authorization::{org}:role/{roleId} |
| ポリシー | hrn:here:authorization::{org}:policy/{policyId} |
| 計画 | hrn:here:authorization::{org}:plan/{planId} |
| リソースポリシー | hrn:here:authorization::{org}:resourcePolicy/{resourcePolicyId} |
| リソースプラン | hrn:here:authorization::{org}:resourcePlan/{resourcePlanId} |
| アクセスフィルター | hrn:here:authorization::{org}:filter/{filterId} |
20 日前の更新