マネージドポリシーセット

DotID は マネージドポリシーセット を提供します。これはプラットフォームが提供する、既知の名前を持つ事前定義されたポリシーのコレクションです。ユーザーによる変更や削除はできません。

マネージドポリシーセットは、IAM ユーザーやグループにアタッチできる一般的な権限バンドルを提供します。AWS マネージドポリシー に類似しています。

命名規則

• {Service}FullAccess — 名前空間内のすべてのアクション（例: IAMFullAccess）

• {Service}ReadOnlyAccess — 読み取りおよびリストアクションのみ

• AdministratorAccess — グローバルワイルドカード（すべてのアクション、すべてのリソース）

マネージドポリシーセット名は予約されています。カスタムポリシーセットではこれらの名前を使用できません。

アクセス許可セット

アクセス許可セットは、1つ以上のマネージド IAM ポリシーのバンドルです。アカウント割り当てを通じて IDC ユーザーに割り当てられ、指定されたアカウント内でユーザーが実行できる操作を定義します。

プラットフォームコアのアクセス権限セット

アクセス許可セット	バンドルされた IAM ポリシー
AdministratorAccess	AdministratorAccess、NotificationsFullAccess
ReadOnlyAccess	IAMReadOnlyAccess、OrganizationReadOnlyAccess、AuditReadOnlyAccess、QuotaCenterReadOnlyAccess、NotificationsReadOnlyAccess
IAMFullAccess	IAMFullAccess
OrganizationFullAccess	OrganizationFullAccess
SCPFullAccess	SCPFullAccess
AuditReadOnlyAccess	AuditReadOnlyAccess
QuotaCenterFullAccess	QuotaCenterFullAccess
QuotaCenterReadOnlyAccess	QuotaCenterReadOnlyAccess
NotificationsFullAccess	NotificationsFullAccess
NotificationsReadOnlyAccess	NotificationsReadOnlyAccess
DeveloperAccess	LicensingEndUserAccess、``MarketplaceDeveloperAccess``（Dev2M/OTAForge 開発者向けクロスサービスバンドル）

サービス登録アクセス権限セット

Registered by consumer services at startup.

アクセス許可セット	サービス	バンドルされた IAM ポリシー
DeviceManufacturerAccess	TrustMint	LicensingEndUserAccess
LicenseApprovalPartnerAccess	TrustMint	LicensingApprovalAccess
MarketplaceDeveloperAccess	Bazaar	MarketplaceDeveloperAccess
MarketplaceConsumerAccess	Bazaar	MarketplaceReadOnlyAccess

マネージド SCP テンプレート

プラットフォームマネージドの SCP テンプレートはサービスにより登録され、organization_id = NULL で格納されます。プラットフォーム管理者がパートナー登録リクエストを承認する際にパートナーアカウントにアタッチされます（User Stories — FlexGalaxy.AI Frontend Applications US-DL-4、US-BP-4 を参照）。

SCP テンプレート	サービス	許可されたアクション
ManufacturerScope	TrustMint	licensing:Device:*、licensing:Certificate:*、licensing:Event:Replay、licensing:License:Read、licensing:License:Request
LicenseManagerScope	TrustMint	licensing:Approval:*、licensing:Device:Read/List、licensing:License:Read、licensing:License:Deactivate
MarketplaceDeveloperScope	Bazaar	marketplace:Product:*
MarketplaceConsumerScope	Bazaar	marketplace:Product:Read/List、marketplace:Acquisition:*

マネージド IAM ポリシー

すべてのアクションとリソースへのフルアクセス。

ユースケース: 管理アカウントのルートユーザー、プラットフォームスーパー管理者。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "AdministratorAccess",
    "Effect": "Allow",
    "Action": "*",
    "Resource": "*"
  }]
}

IAM 操作へのフルアクセス：ユーザー、グループ、ポリシー、認証情報、権限境界、リソースポリシー。

ユースケース: アカウント内の IAM リソースを管理するアカウント管理者。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "IAMFullAccess",
    "Effect": "Allow",
    "Action": "iam:*",
    "Resource": "*"
  }]
}

IAM リソースへの読み取り専用アクセス。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "IAMReadOnlyAccess",
    "Effect": "Allow",
    "Action": [
      "iam:User:Read", "iam:User:List",
      "iam:Group:Read", "iam:Group:List",
      "iam:Policy:Read", "iam:Policy:List",
      "iam:InlinePolicy:Read", "iam:InlinePolicy:List",
      "iam:ResourcePolicy:Read", "iam:ResourcePolicy:List",
      "iam:PermissionBoundary:Read",
      "iam:Credentials:Read"
    ],
    "Resource": "*"
  }]
}

組織管理へのフルアクセス：組織のライフサイクル、OU、メンバーアカウント。

ユースケース: 組織構造を管理する管理アカウントのルートユーザー。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "OrganizationFullAccess",
    "Effect": "Allow",
    "Action": "org:*",
    "Resource": "*"
  }]
}

組織構造への読み取り専用アクセス。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "OrganizationReadOnlyAccess",
    "Effect": "Allow",
    "Action": [
      "org:Organization:Read",
      "org:OU:Read", "org:OU:List",
      "org:Account:Read", "org:Account:List"
    ],
    "Resource": "*"
  }]
}

サービスコントロールポリシー管理へのフルアクセス。

ユースケース: セキュリティガードレールを定義する管理アカウントのルートユーザー。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "SCPFullAccess",
    "Effect": "Allow",
    "Action": "scp:*",
    "Resource": "*"
  }]
}

監査イベントへの読み取り専用アクセス。

ユースケース: 組織全体のコンプライアンス可視性のための委任管理者。audit 名前空間は 委任可能 です。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "AuditReadOnlyAccess",
    "Effect": "Allow",
    "Action": [
      "audit:Event:Read",
      "audit:Event:List",
      "audit:Event:Export"
    ],
    "Resource": "*"
  }]
}

サービスクォータ操作へのフルアクセス。

ユースケース: 組織全体のクォータを管理する委任管理者。quota 名前空間は 委任可能 です。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "QuotaCenterFullAccess",
    "Effect": "Allow",
    "Action": "quota:*",
    "Resource": "*"
  }]
}

サービスクォータおよび増加リクエストへの読み取り専用アクセス。

{
  "Version": "2024-01-01",
  "Statement": [{
    "Sid": "QuotaCenterReadOnlyAccess",
    "Effect": "Allow",
    "Action": [
      "quota:Quota:Read", "quota:Quota:List",
      "quota:Request:Read", "quota:Request:List"
    ],
    "Resource": "*"
  }]
}

サービス登録マネージドポリシー

The following policies are registered at service startup.

NovaBell（notifications）： NotificationsFullAccess``（``notifications:*）、``NotificationsReadOnlyAccess``（読み取り/一覧/カウント）。

TrustMint（licensing）： LicensingFullAccess``（``licensing:*）、``LicensingReadOnlyAccess``（読み取り/一覧）、``LicensingApprovalAccess``（承認管理）、``LicensingEndUserAccess``（デバイス/ライセンス読み取り + リクエスト）。

Bazaar（marketplace）： MarketplaceFullAccess``（``marketplace:*）、``MarketplaceDeveloperAccess``（製品 CRUD）、``MarketplaceReadOnlyAccess``（読み取り専用ブラウズ）、``MarketplaceAdminAccess``（製品管理 + 管理者）。

概要

ポリシー / アクセス権限セット	スコープ	説明
AdministratorAccess	*	すべてのアクション、すべてのリソース
ReadOnlyAccess	読み取り専用	すべての名前空間における読み取り/リストアクション
IAMFullAccess	iam:*	すべての IAM 操作
OrganizationFullAccess	org:*	すべての組織操作
SCPFullAccess	scp:*	すべての SCP 操作
AuditReadOnlyAccess	audit:Event:*	監査イベントの読み取り専用（委任可能）
QuotaCenterFullAccess	quota:*	すべてのクォータ操作（委任可能）
QuotaCenterReadOnlyAccess	quota:*.Read/List	クォータ読み取り専用アクセス
NotificationsFullAccess	notifications:*	すべての通知操作
NotificationsReadOnlyAccess	notifications:*.Read/List	通知読み取り専用アクセス
DeveloperAccess	クロスサービス	ライセンスエンドユーザー + マーケットプレイス開発者（Dev2M/OTAForge）
DeviceManufacturerAccess	licensing	デバイス登録およびライセンスリクエスト（TrustMint）
LicenseApprovalPartnerAccess	licensing	ライセンスマネージャー向け承認読み取り/書き込み（TrustMint）
MarketplaceDeveloperAccess	marketplace	マーケットプレイス開発者向け製品 CRUD（Bazaar）
MarketplaceConsumerAccess	marketplace	製品の閲覧および取得（Bazaar）