API権限の確認方法

APIによって以下の情報を参照することができます。

  • IAMグループの一覧
  • IAMロールの一覧
  • IAMグループに紐付くユーザーの一覧
  • IAMロールの詳細

注釈

IAMグループに紐づくIAMロールの一覧はIAMグループの一覧を取得することで参照することができます。

詳しくは Smart Data Platform IAM API Reference をご覧ください。

正しく権限設定がなされているかについては、以下の項目をご確認ください。

確認事項 確認内容
Keystone APIの実行を許可していること
Keystone APIの実行を許可するIAMグループ及びIAMロールが作成され紐付いていること。Keystone APIの実行を許可するIAMグループに紐付くユーザー一覧を取得し、該当ユーザーのユーザーIDが表示されていること。
( IAMグループの一覧 でKeystoneのiam_group_idを取得し、 IAMグループに紐付くユーザーの一覧取得 で該当ユーザーIDが紐付いているか確認する。)
作成したIAMグループと
該当ユーザーが紐付いていること
作成したIAMグループに紐づくユーザー一覧を取得し、該当ユーザーのユーザーIDが表示されていること。
( IAMグループの一覧 で作成したIAMグループのiam_group_idを取得し、 IAMグループに紐付くユーザーの一覧取得 で該当ユーザーIDが紐付いているか確認する。)
作成したIAMグループと
作成したIAMロールが紐付いていること
IAMグループ一覧を取得し、作成したグループに作成したIAMロールのIDと名前が表示されていること。
( IAMグループの一覧 で作成したIAMグループに作成したIAMロールが紐付いていることを確認する。)
デフォルトグループと
該当ユーザーが紐付き解除されていること
デフォルトグループに紐づくユーザー一覧を取得し、該当ユーザーのユーザーIDが表示されていないこと。
( IAMグループの一覧 でデフォルトグループのiam_group_idを取得し、 IAMグループに紐付くユーザーの一覧取得 で該当ユーザーIDが紐付いていないか確認する。)
該当ユーザーが他に紐付いている
IAMグループがないこと
お客様が作成した他のIAMグループにユーザーが紐付いていないかをご確認ください。ユーザーが複数のIAMグループに紐付いている場合、OR条件が適用されます。
( IAMグループの一覧 でIAMグループ一覧からのiam_group_idを取得し、 IAMグループに紐付くユーザーの一覧取得 で各IAMグループに該当ユーザーが紐付いていないことを確認する。)
IAMロール記述内容の確認
作成したIAMロールの詳細を取得し、制限したいresources記述になっているかをご確認ください。
( IAMロールの一覧 でIAMロール一覧からのiam_role_idを取得し、 IAMロールの詳細 で作成したIAMロールの記述が制限したい記述になっているか確認する。)
GET操作の実行が許可されていること
(該当ユーザーがGUIを使用する場合)
GET操作を許可するIAMグループ及びIAMロールが作成され紐付いていること。GET操作を許可するIAMグループに紐づくユーザー一覧を取得し、該当ユーザーのユーザーIDが表示されていること。
( IAMロールの一覧 でGET操作を許可するIAMグループのiam_role_idを取得し、 IAMグループに紐付くユーザーの一覧取得 で該当ユーザーが紐付いているか確認する。)