SAM デフォルト権限は、すべての SAM ユーザーに適用される権限です。
例:
すべての SAM ユーザーに、自分自身のパスワードを設定する API の利用を許可する
{ "statements": [ { "effect": "allow", "api": "User:updateUserPassword", "condition": "pathVariable('user_name') == samUserName" } ] }すべての SAM ユーザーに、
Billing:* APIの API の利用を禁止する{ "statements": [ { "effect": "deny", "api": "Billing:*" } ] }
Lagoon を利用する場合は以下の権限を制限 (deny) しないでください
Lagoon の利用を開始すると自動的に「SORACOM-Lagoon-User-」から始まる SAM ユーザーが作成されます。Lagoon では、この SAM ユーザーを利用して SORACOM Harvest Data/Files のデータや IoT SIM の一覧などを取得します。
「SORACOM-Lagoon-User-」で始まる SAM ユーザーには、以下のような権限が設定されます。許可されている権限を変更したり、SAM デフォルト権限で制限したりしないでください。Lagoon を正常に利用できなくなります。
{
"statements": [
{
"effect": "allow",
"api": [
"Auth:auth",
"Auth:logout",
"DataEntry:listDataSourceResources",
"DataEntry:getDataEntries",
"FileEntry:getFile",
"FileEntry:getFileMetadata",
"FileEntry:putFile",
"FileEntry:listFiles"
]
},
{
"effect": "deny",
"api": [
:
]
}
]
}
なお、権限設定は Lagoon の利用を開始した時期によって異なる場合があります。
SAM デフォルト権限を設定する
ユーザーコンソール にログインし、右上のユーザー名が表示されているボタンをクリックして、 → の順にクリックします。
SAM デフォルト権限設定画面が表示されます。
パーミッション構文に従った JSON を入力し、 をクリックします。
入力する内容は、直接指定 の場合と同様です。
SAM デフォルト権限を変更したときは新しい API キーと API トークンを発行してください
SAM ユーザーの権限設定に関する情報は、API キーと API トークンに含まれています。したがって、API キーと API トークンを発行後に SAM デフォルト権限を変更したときは、以下の方法で新しい API キーと API トークンを発行してください。
- SORACOM API および SORACOM CLI を利用する場合は、API キーと API トークンを発行する の手順に従って API キーと API トークンを発行してください。
- SAM ユーザーが SORACOM ユーザーコンソールにログインしている場合は、一度ログアウトしてログインし直してください。ログインし直したときに、新しい API キーと API トークンが発行されます。
SAM ユーザーの権限設定の適用順序について
SAM ユーザーの権限設定は、以下の 3 つの方法で指定できます。
1 ユーザーに対して、すべての方法で権限を設定した場合の適用順序については、SAM ユーザーの権限設定の適用順序について を参照してください。