Skip to main content
BlueXP setup and administration
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

BlueXP  のアイデンティティ管理とアクセス管理の詳細

共同作成者 netapp-bcammett netapp-tonias
PDF

BlueXP  IDおよびアクセス管理(IAM)を使用すると、NetAppリソースへのアクセスを整理および制御できます。組織の階層に従ってリソースを編成できます。たとえば、地理的な場所、サイト、ビジネスユニットごとにリソースを整理できます。その後、階層の特定の部分のメンバーにIAMロールを割り当てることができます。これにより、階層の他の部分のリソースにアクセスできなくなります。

BlueXP  IAMの仕組み

BlueXP IAMでは、ユーザーに階層内の特定の部分へのアクセスロールを割り当てることで、リソースへのアクセス権限を付与できます。例えば、5つのリソースを持つプロジェクトのフォルダ管理者またはプロジェクト管理者ロールをメンバーに割り当てることができます。

BlueXP  IAMを使用する場合は、次のコンポーネントを管理します。

  • 組織

  • フォルダ

  • プロジェクト

  • リソース

  • メンバー

  • ロールと権限

  • コネクタ

BlueXP  リソースは階層的に編成されています。

  • 組織は階層の最上位に位置します。

  • フォルダは、組織または別のフォルダの子です。

  • プロジェクトは、組織またはフォルダの子です。

  • リソースは、1つ以上のフォルダまたはプロジェクトに関連付けられています。

次の図は、基本レベルでのこの階層を示しています。

BlueXP  IAMのリソース階層(組織、フォルダ、プロジェクト、およびリソース)を示す概念図。

組織

an_organization_は、BlueXP  のIAMシステムの最上位レベルであり、通常は会社を表します。組織は、フォルダ、プロジェクト、メンバー、ロール、およびリソースで構成されています。コネクタは、組織内の特定のプロジェクトに関連付けられています。

フォルダ

a_folder_を使用すると、関連するプロジェクトをグループ化し、組織内の他のプロジェクトから分離できます。たとえば、フォルダは地理的な場所(EUまたは米国東部)、サイト(ロンドンまたはトロント)、ビジネスユニット(エンジニアリングまたはマーケティング)を表す場合があります。

フォルダーには、プロジェクト、他のフォルダー、またはその両方を含めることができます。フォルダーの作成はオプションです。

プロジェクト

a_project_は、組織メンバーがリソースを管理するためにBlueXP  キャンバスからアクセスするBlueXP  内のワークスペースを表します。たとえば、Cloud Volumes ONTAPシステム、オンプレミスのONTAPクラスタ、FSx for ONTAPファイルシステムなどをプロジェクトに含めることができます。

組織は1つまたは複数のプロジェクトを持つことができます。プロジェクトは、組織の直下に配置することも、フォルダ内に配置することもできます。

リソース

a_resource_は、BlueXP  で作成または検出した作業環境です。

リソースを作成または検出すると、そのリソースは現在選択されているプロジェクトに関連付けられます。これが、このリソースを関連付ける唯一のプロジェクトである可能性があります。ただし、リソースを組織内の追加プロジェクトに関連付けることもできます。

たとえば、Cloud Volumes ONTAPシステムを1つの追加プロジェクトまたは組織内のすべてのプロジェクトに関連付けることができます。リソースの関連付け方法は、組織のニーズによって異なります。

ヒント コネクタを組織内の別のフォルダまたはプロジェクトに関連付けることもできます。BlueXP  IAMでのコネクタの使用の詳細です。

リソースをフォルダに関連付けるタイミング

リソースをフォルダに関連付けるオプションもありますが、これはオプションであり、特定のユースケースのニーズを満たしています。

組織管理者 はリソースをフォルダーに関連付けて、フォルダーまたはプロジェクト管理者 がそのリソースをフォルダー内の適切なプロジェクトにリンクできるようにすることができます。

たとえば、次の2つのプロジェクトを含むフォルダがあるとします。

フォルダとフォルダ内に存在する2つのプロジェクト(プロジェクトAとプロジェクトB)を示す図。

_Organization admin_では、リソースを次のフォルダに関連付けることができます。

フォルダ、フォルダに関連付けられているリソース、およびフォルダに存在する2つのプロジェクト(プロジェクトAとプロジェクトB)を示す図。

リソースをフォルダーに関連付けても、すべてのプロジェクトからアクセスできるようになるわけではなく、フォルダーまたはプロジェクトの管理者のみがそれを表示できます。フォルダ管理者またはプロジェクト管理者_は、どのプロジェクトがリソースにアクセスできるかを決定し、適切なプロジェクトにリソースを関連付けます。

この例では、管理者はリソースをプロジェクトAに関連付けます。

フォルダ、フォルダ内に存在する2つのプロジェクト(プロジェクトAとプロジェクトB)、およびプロジェクトAに関連付けられたリソースを示す図。

プロジェクトAの権限を持つメンバーがリソースにアクセスできるようになりました。

メンバー

組織のメンバーは、ユーザーアカウントまたはサービスアカウントです。サービスアカウントは通常、アプリケーションによって使用され、人間の介入なしに指定されたタスクを完了します。

各組織には、組織管理者 ロールを持つユーザーが少なくとも 1 人含まれます (BlueXP は、組織を作成したユーザーにこのロールを自動的に割り当てます)。組織に他のメンバーを追加し、リソース階層のさまざまなレベルで異なる権限を割り当てることができます。

ロールと権限

BlueXP  IAMでは、組織メンバーに直接権限を付与することはありません。代わりに、各メンバーにロールを付与します。ロールには、メンバーがリソース階層の特定のレベルで特定のアクションを実行できるようにする一連の権限が含まれています。

特定の階層レベルで権限を付与すると、メンバーが必要とするリソースと、それらのリソースで使用できるサービスへのアクセスが制限されます。

階層内でロールを割り当てることができる場所

メンバーをロールに関連付ける場合は、組織全体、特定のフォルダ、または特定のプロジェクトを選択する必要があります。選択したロールにより、階層の選択した部分のリソースにメンバー権限が付与されます。

ロールの継承

ロールを割り当てると、そのロールは組織階層に継承されます。

組織

組織レベルでメンバーにアクセス ロールを付与すると、すべてのフォルダー、プロジェクト、リソースへの権限が付与されます。

フォルダ

フォルダ レベルでアクセス ロールを付与すると、フォルダ内のすべてのフォルダ、プロジェクト、リソースがそのロールを継承します。

たとえば、フォルダーレベルで役割を割り当て、そのフォルダーに3つのプロジェクトがある場合、メンバーにはこれら3つのプロジェクトと関連リソースに対する権限が与えられます。

プロジェクト

プロジェクト レベルでアクセス ロールを付与すると、そのプロジェクトに関連付けられているすべてのリソースがそのロールを継承します。

複数のロール

組織階層のさまざまなレベルで、各組織メンバーに役割を割り当てることができます。同じロールでも別のロールでもかまいません。たとえば、プロジェクト1とプロジェクト2のメンバーロールAを割り当てることができます。または、プロジェクト1にメンバーロールAを、プロジェクト2にロールBを割り当てることもできます。

アクセスロール

BlueXP  では、組織のメンバーに割り当てることができるいくつかの事前定義されたロールがサポートされています。

"アクセスロールの詳細"です。

コネクタ

組織管理者_がコネクタを作成すると、BlueXP  はそのコネクタを組織および現在選択されているプロジェクトに自動的に関連付けます。_Organization admin_は、組織内の任意の場所からそのコネクタに自動的にアクセスできます。ただし、組織内に別のロールを持つ他のメンバーがいる場合は、そのコネクタを他のプロジェクトに関連付けない限り、それらのメンバーはそのコネクタが作成されたプロジェクトからのみそのコネクタにアクセスできます。

次の場合には、コネクタを別のプロジェクトで使用できるようにします。

  • 組織内のメンバーが既存のコネクタを使用して、別のプロジェクトで追加の作業環境を作成または検出できるようにする場合

  • 既存のリソースを別のプロジェクトに関連付け、そのリソースはコネクターによって管理されている

    追加のプロジェクトに関連付けたリソースが BlueXP コネクタを使用して検出された場合は、そのリソースが現在関連付けられているプロジェクトにコネクタを関連付ける必要もあります。そうしないと、組織管理者 ロールを持たないメンバーは、BlueXP キャンバスからコネクタとその関連リソースにアクセスできなくなります。

関連付けは、BlueXP  IAMの*コネクタ*ページから作成できます。

  • コネクタとプロジェクトの関連付け

    コネクタをプロジェクトに関連付けると、プロジェクトを表示しているときに、そのコネクタにBlueXP  キャンバスからアクセスできます。

  • コネクタとフォルダの関連付け

    コネクタをフォルダに関連付けても、フォルダ内のすべてのプロジェクトからコネクタに自動的にアクセスできるわけではありません。組織メンバーは、コネクタを特定のプロジェクトに関連付けるまで、プロジェクトからコネクタにアクセスできません。

    _Organization admin_はコネクタをフォルダに関連付けて、_Folderまたはプロジェクトadmin_がそのコネクタをフォルダ内の適切なプロジェクトに関連付けるかどうかを決定できるようにする場合があります。

IAMの例

これらの例は、組織をどのように設定するかを示しています。

シンプルな構成

次の図は、デフォルトのプロジェクトを使用し、フォルダを使用しない組織の簡単な例を示しています。1人のメンバーが組織全体を管理します。

プロジェクト、関連リソース、および1人の組織管理者を持つ組織を示す概念図。

高度な構成

次の図は、フォルダを使用して、ビジネス内の地理的な場所ごとにプロジェクトを整理する組織を示しています。各プロジェクトには、関連するリソースの独自のセットがあります。メンバーには、組織内の各フォルダの組織管理者と管理者が含まれます。

3つのフォルダ、それぞれ3つのプロジェクト、および関連するリソースを持つ組織を示す概念図。組織管理者1人とフォルダ管理者3人の4人のメンバーがいます。

BlueXP  IAMの機能

次に、IAMを使用してBlueXP  組織を管理する例を示します。

  • 特定のメンバーに特定のロールを付与して、必要なタスクのみを完了できるようにします。

  • メンバーの権限を変更する理由は、メンバーが部門を移動した場合や、追加の権限がある場合です。

  • 退社したユーザを削除します。

  • 新しいビジネスユニットによってNetAppストレージが追加されたため、フォルダまたはプロジェクトを階層に追加します。

  • リソースに別のチームが使用できる容量があるため、リソースを別のプロジェクトに関連付けます。

  • メンバーがアクセスできるリソースを表示します。

  • 特定のプロジェクトに関連付けられているメンバーとリソースを表示します。

次の手順