認証基盤でサポートする権限
NocodilySuite の IAM API では、**ロール(Role)**によってリソースへのアクセス権限を制御します。
ロールはサービスアカウント・組織メンバー・チームメンバーに付与でき、
操作の種類(閲覧・更新・削除など)ごとに必要なロールが定められています。
認可処理の基本ルール
- Admin ユーザー はすべての操作が可能です
- サービスアカウントは Admin エンドポイントに対してのみ適用されます。利用者向けエンドポイントにはサービスアカウントは使用しません
- カスタムロール — IAM API にカスタムロールを登録し、マイクロサービス API のエンドポイントにそのロールによる権限処理を適用できます
組み込みロール一覧
サービスアカウント用ロール
| ロール | 概要 |
|---|---|
| ServiceAccountAdmin | 管理者と同等の権限。すべての操作が可能 |
| ServiceAccountWriter | 組織・チームデータの作成・更新・削除が可能 |
| ServiceAccountReader | 組織・チームデータの閲覧のみ可能 |
組織メンバー用ロール
| ロール | 概要 |
|---|---|
| OrganizationAdmin | 組織の管理者。組織情報の更新・削除・メンバー管理が可能 |
| OrganizationManager | 組織メンバーの権限更新・ストレージ管理が可能 |
| OrganizationMember | 組織情報・メンバーの閲覧が可能 |
チームメンバー用ロール(チーム概念有効時)
| ロール | 概要 |
|---|---|
| TeamAdmin | チームの管理者。チーム情報の更新・削除・メンバー管理が可能 |
| TeamManager | チームメンバーの追加・権限更新・ストレージ管理が可能 |
| TeamMember | チーム情報・メンバーの閲覧が可能 |
操作ごとに必要なロール — チーム概念 無効
組織にチームを持たないシンプルな構成の場合のロール要件です。
| 操作 | 必要なロール |
|---|---|
| 組織マスター情報の更新・削除、組織 Admin メンバーの追加・削除 | ServiceAccountAdmin / ServiceAccountWriter / OrganizationAdmin |
| 組織メンバーの権限更新・ストレージ更新 | ServiceAccountAdmin / ServiceAccountWriter / OrganizationAdmin / OrganizationManager |
| 組織マスター情報・メンバーの閲覧・ストレージ閲覧 | ServiceAccountAdmin / ServiceAccountWriter / ServiceAccountReader / OrganizationAdmin / OrganizationManager / OrganizationMember |
操作ごとに必要なロール — チーム概念 有効
組織の下にチームを持つ構成の場合のロール要件です。
| 操作 | 必要なロール |
|---|---|
| 組織マスター情報の更新・削除、組織 Admin メンバーの追加 | ServiceAccountAdmin / ServiceAccountWriter / OrganizationAdmin |
| チームの作成 | ServiceAccountAdmin / ServiceAccountWriter / OrganizationAdmin |
| チームマスター情報の更新・削除 | ServiceAccountAdmin / ServiceAccountWriter / OrganizationAdmin / TeamAdmin |
| チームメンバーの追加・権限更新・ストレージ更新 | ServiceAccountAdmin / ServiceAccountWriter / OrganizationAdmin / TeamAdmin / TeamManager |
| チームマスター情報・メンバーの閲覧・ストレージ閲覧 | ServiceAccountAdmin / ServiceAccountWriter / ServiceAccountReader / OrganizationAdmin / TeamAdmin / TeamManager / TeamMember |
カスタムロール
上記の組み込みロール以外に、業務要件に合わせたカスタムロールを IAM API に登録できます。
カスタムロールはマイクロサービス API のエンドポイントに適用し、
「このロールを持つユーザーのみこのエンドポイントにアクセスできる」という制御が可能です。
詳細 → 認証基盤 API (IAM API)