(projects-confine)=
# 特定のユーザーにプロジェクトを制限するには

プロジェクトを使用して、異なるユーザーまたはクライアントの活動を制限できます。
詳細については、{ref}`projects-confined`を参照してください。

特定のユーザーにプロジェクトを制限する方法は、選択した認証方法によって異なります。

## 特定のTLSクライアントにプロジェクトを制限する

Incus サーバーへの接続に使用される TLS クライアント証明書を制限することで、特定のプロジェクトへのアクセスを制限できます。
詳細については、{ref}`authentication-tls-certs`を参照してください。

クライアント証明書が追加された時点からアクセスを制限するには、トークン認証を使用するか、クライアント証明書をサーバーに直接追加する必要があります。

制限されたクライアント証明書を追加するには、次のコマンドを使用します:

````{tabs}

```{group-tab} トークン認証

    incus config trust add --projects <project_name> --restricted

```

```{group-tab} クライアント証明書を追加

    incus config trust add-certificate <certificate_file> --projects <project_name> --restricted
```

````

クライアントは、通常の方法でサーバーをリモートに追加できます（[`incus remote add <server_name> <token>`](incus_remote_add.md) または [`incus remote add <server_name> <server_address>`](incus_remote_add.md)）。そして、指定されたプロジェクトのみにアクセスできます。

既存の証明書のアクセスを制限するには、次のコマンドを使用します:

    incus config trust edit <fingerprint>

`restricted`が`true`に設定されていることを確認し、`projects`の下に証明書がアクセスを許可するプロジェクトを指定してください。

```{note}
リモートを追加するときに`--project`フラグを指定できます。
この設定では、指定されたプロジェクトが事前に選択されます。
ただし、これによってクライアントがこのプロジェクトに制限されるわけではありません。
```

## 特定のIncusユーザーにプロジェクトを制限する

Incus は特定のユーザーグループ内のすべてのユーザーのために動的にプロジェクトを作成するように設定できます。
これは通常`incus`グループのメンバーだが`incus-admin`グループのメンバーではないユーザーを作ることで実現されます。

Incus を使うユーザーアカウントはすべてこのグループのメンバーであるようにしてください。

グループのメンバーが Incus コマンドを発行すると、Incus はこのユーザーのために制限されたプロジェクトを作成し、このプロジェクトに切り替えます。
この時点で Incus が{ref}`初期化 <initialize>`されていない場合、自動的に初期化されます（デフォルト設定で）。

プロジェクトの設定をカスタマイズしたい場合（たとえば、制限や制約を課すために）、プロジェクトが作成された後で行うことができます。
プロジェクト設定を変更するには、Incus への完全なアクセスが必要です。つまり、設定した Incus ユーザーグループの一員であるだけでなく、 `incus-admin`グループの一員である必要があります。