グループの操作権限

グループに対する操作ができるかどうかは、ログイン中のユーザーの権限によって決まります。

  • ログインが行われていない状態では、グループの新規作成、URI からのグループ生成を含め、グループの操作ができません。ログイン前の匿名状態でグループ操作を行うとエラーになります。

  • メンバーはグループ内のデータに対して、デフォルトで読み込みと書き込みの権限を持ちます。

  • メンバーの追加と削除、オーナーの変更、グループの削除はグループのオーナーだけが実行できます。オーナー以外のユーザーがこれらの操作を行うとエラーになります。

  • オーナーの変更を行うとき、メンバーでないユーザーも新しいオーナーとして指定できます。操作後、このユーザーは自動的にメンバーになります。

  • メンバーではないユーザーであってもグループそのものへのアクセスはできます。URI からのグループの生成、グループのメンバーやオーナーの確認が実行できます。ただし、グループにはアクセスできても、その後の Bucket と KiiObject のアクセスにはアクセス権のチェックが行われます。

グループに対する操作の権限はシステムで固定的に決まっており、ACL などによって変更できません。ただし、グループスコープの Bucket や KiiObject へのアクセスは、アクセス制御 の機能で権限を変更できます。

未ログイン ログイン済みユーザー 管理者
匿名ユーザー グループ外ユーザー グループメンバー グループオーナー
グループの新規作成
作成済みグループの参照
グループスコープのデータアクセス ※1
メンバーの追加と削除
オーナーの変更

※1 ACL の設定や具体的な操作によって変わります。

Thing 関連の SDK を使用している場合、Thing のオーナーのグループであっても Thing のアクセストークンではこれらの操作を実行できません。

管理者トークンを使うと、すべての操作が実行できます。たとえば、グループオーナー以外のユーザーからグループメンバーを追加したい場合、Server Code の 管理者トークン でグループメンバーの追加処理を記述し、手動実行 で呼び出すような回避方法もあります(ただし、実行の正当性を確認するために Server Code で呼び出し元ユーザー等をチェックしないと、セキュリティ の問題が発生します)。