SORACOM Developers

Documents

SAMデフォルト権限

概要

SAMデフォルト権限はSAMを使用した操作権限管理機能を拡張する機能です。SAMデフォルト権限を利用することにより、権限管理ルールをすべてのSAMユーザーに対して適用できます。

本機能は例えば、

というようなユースケースにおいて効果的に働きます。

利用方法

ユーザーコンソールのメニューから「セキュリティ」を選択します。

ユーザーコンソールからセキュリティを選択

「セキュリティ」画面のサイドバーメニューから「SAMデフォルト権限設定」を選択します。

セキュリティ画面からSAMデフォルト権限設定を選択

権限管理ルールを設定する画面が出てくるので、適宜権限設定を行い、「保存」をクリックしてください。

SAMデフォルト権限設定画面

注意
SAMデフォルト権限設定を行った直後 (つまり上記画面の「保存」をクリックした直後) は、SAMデフォルト権限は各SAMユーザーに即時反映されません。SAMデフォルト権限を反映するには各SAMユーザーが一度ログアウトして、再度ログインしなおす必要があります。

構文

アクセス権限設定のためのパーミッション構文については以下のドキュメントを参照してください。

SAM アクセス権限設定のためのパーミッション構文 | SORACOM Developers

権限ルールの適用順について
権限ルールは deny (拒否) のものが必ず優先されます。以下に例を示します。
  • 個別SAMユーザーは「API Aを許可している」状態で、SAMデフォルト権限設定は「API Aを拒否している」
    • => API Aは拒否されます
  • 個別SAMユーザーは「API Bを拒否している」状態で、SAMデフォルト権限設定は「API Bを許可している」
    • => API Bは拒否されます
  • 個別SAMユーザーは「API Cを許可している」状態で、SAMデフォルト権限設定も「API Cを許可している」
    • => API Cは許可されます
  • 個別SAMユーザーは「API Dを許可している」状態で、SAMデフォルト権限設定ではなにも設定しない
    • => API Dは許可されます

以下にSAMデフォルト権限設定ルールの例を示します。

全SAMユーザーからBillingの権限を剥奪する

{
  "statements": [
    {
      "effect": "deny",
      "api": [
        "Billing:*"
      ]
    }
  ]
}

全SAMユーザーに「自分自身のパスワードを変更する権限」を付与する

{
  "statements": [
    {
      "effect": "allow",
      "api": "User:updateUserPassword",
      "condition": "pathVariable('user_name') == samUserName"
    }
  ]
}

Getting Started

SORACOM Air for セルラー

SORACOM Air for LoRaWAN

SORACOM Air for Sigfox

SORACOM Beam

SORACOM Canal/Direct/Door

SORACOM Endorse

SORACOM Funnel

SORACOM Funk

SORACOM Gate

SORACOM Harvest

SORACOM Inventory

SORACOM Junction

SORACOM Krypton

SORACOM Lagoon

SORACOM Napter

Gadgets

Device

サービス機能詳細

Developer Tools

pagetop