権限管理のまとめ
from ロールベースのアクセス制御
権限管理のまとめ
「アクセス」の主語と述語をA,Bとしたらmiyamonz.icon
AがBにアクセスする
このときの「権限管理」周辺で行われること
直接的な権限付与
AがBへのアクセスを許可
ロールによる抽象化
Aに対してロールを割り当てて、ロールに対してBの許可を与える
A→ロール→B
これはA→Bのときより権限管理に柔軟性が増す
また、ロールに対してメタデータを付与する物が多い
具体的には、read と writeとかのこと
Aのグルーピング
Bのグルーピング
とくにAまたはBのグルーピングは必ずしも「権限管理」という分類でされるものではない
Azure ADとかだと
Azure ADの下にユーザとグループというものがある
サブスクリプションをまたいでリソースグループがある
AWSだとIAM(identity and access management)
IAM ユーザ、IAMロールといった単位がある
これらの概念は、AまたはBが所属するドメイン上で登場することが多いのではないかmiyamonz.icon
AまたはBに対してのグルーピングに対して
階層管理かタグ管理か、という問題
その場合、階層管理によって、ロールは伝播させるのかとか
考えることがn^2とかで増えていくので難しい
machine userについてどのように扱われているかも注意
これはクラウドサービスごとに微妙に違う
権限周りの大変さがある
また、複雑な権限管理が可能でも、実運用上どこまで忠実にやるのかという疑問もある
クラウドサービスごとの権限周りの比較