Getting Started: SAM ユーザーを作成する | アクセス管理 (SORACOM Access Management: SAM)

ルートユーザーとは別の「SAM ユーザー」を作成し、SAM ユーザーごとに権限を細かく管理します。利用できる API や利用可能期間などを SAM ユーザーごとに設定できるため、不要なアクセスや操作ミスによる損失を未然に防ぐことが期待できます。

ユーザーコンソールにログインし、右上のユーザー名が表示されているボタンをクリックして、[セキュリティ] をクリックします。

SAM ユーザー一覧画面が表示されます。
[ユーザー] をクリックし、[SAM ユーザー作成] をクリックします。

[名前] と [概要] を入力し、[作成] をクリックします。

項目	説明
名前	SAM ユーザーの名前です。SORACOM ユーザーコンソールに、SAM ユーザーとしてログインするときに使います。パスワードの設定方法は、SORACOM ユーザーコンソールのログインパスワードを設定するを参照してください。
概要	SAM ユーザーを識別するための任意の文字列です。

SAMユーザーの入力画面

認証設定と権限設定が必要です

SAM ユーザーを作成した直後は、SORACOM ユーザーコンソールにログインできません。また、SORACOM CLI も SORACOM API も利用できません。各操作ができるように認証設定と権限設定を行ってください。

項目	説明
認証設定	SORACOM の利用権限があることを示すために必要な設定です。パスワードを設定したり、認証キーを生成したりします。
権限設定	SORACOM が提供する機能 (サービスよりも細かい単位) ごとに、利用を許可したり、拒否したりします。

SAM ユーザーの認証設定

作成した SAM ユーザーの認証キーを生成したり、パスワードを設定したりします。

SORACOM CLI や SORACOM API を利用するには、認証キーを生成することを推奨します。また、SORACOM ユーザーコンソールにログインするためには、パスワードを設定してください。

SAM ユーザー一覧画面で、パスワードの設定または認証キーの生成を行う SAM ユーザーをクリックします。
[認証設定] をクリックします。

この画面を「SAM ユーザーの認証設定」画面と呼びます。
- この SAM ユーザーが、SORACOM CLI や SORACOM API を利用する場合は、認証キーを生成します。
- この SAM ユーザーが、SORACOM ユーザーコンソールにログインする場合は、パスワードを設定します。

認証キーを生成する

SAM ユーザーが SORACOM CLI や SORACOM API を利用する場合は、認証キーを生成することを推奨します。

生成した認証キーは、SORACOM に保存されます。ダウンロードできません。

「SAM ユーザーの認証設定」画面で [認証キーを生成] をクリックします。

「認証キー ID」と「認証キーシークレット」が表示されます。
[クリップボードにコピー] をクリックします。
「SAM ユーザー名」(user)、「認証キー ID」(authKeyId)、「認証キーシークレット」(authKeySecret) が、以下の書式でクリップボードにコピーされます。なお、1 行目はヘッダーです。2 行目に記載された情報を利用してください。
```
user,authKeyId,authKeySecret
my-user,keyId-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx,secret-xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
```
「認証キー ID」(authKeyId)、「認証キーシークレット」(authKeySecret) の 2 つを使って Auth:auth API を呼び出すと、SAM ユーザーとして SORACOM API を使用するための API キーと API トークンが発行されます。詳しくは、API キーと API トークンを発行するを参照してください。

認証キーシークレットは安全な状態で保管してください

発行済みの「認証キーシークレット」(authKeySecret) は、再確認できません。安全な状態で保管してください。
認証キー ID と認証キーシークレットは、SAM ユーザーが SORACOM CLI や SORACOM API を利用できることを証明するための情報です。漏洩した可能性がある場合は、速やかに認証キーを削除してください。
認証キーを削除する場合は、「SAM ユーザーの認証設定」画面で [削除] をクリックします。
認証キーを削除すると、対応する認証キー ID と認証キーシークレットを利用しても、API キーと API トークンが発行できなくなります。ただし、すでに発行された API キーと API トークンは引き続き利用できます。

最大 2 件の認証キーを作成できます

同じ SAM ユーザーの権限で動作する複数のプログラムを作成する場合に、2 件の認証キーを使い分けることを推奨します。仮に一方の認証キーが漏洩した場合は、その認証キーは速やかに削除します。このとき、削除した認証キーを使用していたプログラムは、SORACOM CLI や SORACOM API を利用できなくなります。ただし、もう一方の漏洩していない認証キーを使用しているプログラムには影響がありません。
認証キーごとに異なる権限を設定することはできません。

SORACOM ユーザーコンソールのログインパスワードを設定する

SAM ユーザーで SORACOM ユーザーコンソールにログインする場合は、ログインパスワードを設定します。

SAM ユーザーは自分でパスワードを設定できない場合があります

SAM ユーザーは自分でパスワードを設定するには、ユーザーコンソールにログインする必要があります。ルートユーザー向けに提供している [パスワードを忘れた場合] は、SAM ユーザーは利用できません。

SAM ユーザーに以下の権限を設定すると、SAM ユーザーも同様の手順で自分のパスワードを設定できます。権限設定については、SAM ユーザーの権限を設定するを参照してください。

{
  "statements": [
    {
      "effect": "allow",
      "api": [
        "User:listUsers",
        "User:getUser"
      ]
    },
    {
      "effect": "allow",
      "api": [
        "User:updateUserPassword"
      ],
      "condition": "pathVariable('user_name') == samUserName"
    }
  ]
}

「SAM ユーザーの認証設定」画面で [パスワード設定] をクリックします。
[パスワード] および [パスワード (確認)] に、画面に表示された条件を満たす同一のパスワードを入力して、[設定] をクリックします。

ログイン URL が発行されます。ログイン URL を SAM ユーザーに共有すると、SAM ユーザーで SORACOM ユーザーコンソールにログインするときに、オペレーター ID の入力を省略できます。

ログインパスワードを更新/削除するには

「SAM ユーザーの認証設定」画面で [パスワード更新] または [パスワード削除] をクリックし、画面の指示に従って操作します。

なお、パスワードを削除すると、この SAM ユーザーでは SORACOM ユーザーコンソールにログインできなくなります。

多要素認証に対応しています

SORACOM では、ログインパスワードを使用した認証において、RFC 6238 で定義されている時間ベースのワンタイムパスワード (Time-based One-Time Password: TOTP) を使用した多要素認証 (Multi-Factor Authentication: MFA) をサポートしています。詳しくは、多要素認証を参照してください。

ログイン URL にはカバレッジタイプも含まれています

SAM ユーザーが日本カバレッジのサービスを利用することが多い場合は、日本カバレッジ用のログイン URL を共有すると便利です。ログイン URL に含まれるカバレッジタイプは、SORACOM ユーザーコンソールで表示するカバレッジタイプと同一です。

SAM ユーザーの権限設定

SAM ユーザーの権限を設定するを参照してください。