Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

BlueXP  のアイデンティティ管理とアクセス管理の詳細

共同作成者
PDF

BlueXP  IDおよびアクセス管理(IAM)を使用すると、NetAppリソースへのアクセスを整理および制御できます。組織の階層に従ってリソースを編成できます。たとえば、地理的な場所、サイト、ビジネスユニットごとにリソースを整理できます。その後、階層の特定の部分のメンバーに権限を割り当てることができます。これにより、階層の他の部分のリソースにアクセスできなくなります。

BlueXP  IAMは、BlueXP  アカウントによって提供されていた以前の機能を置き換え、強化します。"BlueXP  IAMの導入について詳しくは、こちらをご覧ください。"です。

BlueXP  IAMは、標準モードでBlueXP  を使用する場合にサポートされます。BlueXP  を制限モードまたはプライベートモードで使用している場合は、BlueXP  アカウント_を使用してユーザーとリソースを管理します。

BlueXP  IAMの仕組み

BlueXP  IAMを使用すると、組織階層の特定の部分に対する権限を持つメンバーを定義して、組織のリソースへのアクセスを許可できます。たとえば、メンバーは、5つのリソースが関連付けられているプロジェクトに対して、プロジェクト管理者権限を持つことができます。

BlueXP  IAMを使用する場合は、次のコンポーネントを管理します。

  • 組織

  • フォルダ

  • プロジェクト

  • リソース

  • メンバー

  • ロールと権限

  • コネクタ

BlueXP  リソースは階層的に編成されています。

  • 組織は階層の最上位に位置します。

  • フォルダは、組織または別のフォルダの子です。

  • プロジェクトは、組織またはフォルダの子です。

  • リソースは、1つ以上のフォルダまたはプロジェクトに関連付けられています。

次の図は、基本レベルでのこの階層を示しています。

BlueXP  IAMのリソース階層(組織、フォルダ、プロジェクト、およびリソース)を示す概念図。

組織

an_organization_は、BlueXP  のIAMシステムの最上位レベルであり、通常は会社を表します。組織は、フォルダ、プロジェクト、メンバー、ロール、およびリソースで構成されています。コネクタは、組織内の特定のプロジェクトに関連付けられています。

BlueXP  にサインアップすると、新しい組織を作成するように求められます。

フォルダ

a_folder_を使用すると、関連するプロジェクトをグループ化し、組織内の他のプロジェクトから分離できます。たとえば、フォルダは地理的な場所(EUまたは米国東部)、サイト(ロンドンまたはトロント)、ビジネスユニット(エンジニアリングまたはマーケティング)を表す場合があります。

フォルダには、プロジェクト、他のフォルダ、またはその両方を含めることができます。

フォルダを作成する必要はありません。これらはオプションです。

プロジェクト

a_project_は、組織メンバーがリソースを管理するためにBlueXP  キャンバスからアクセスするBlueXP  内のワークスペースを表します。たとえば、Cloud Volumes ONTAPシステム、オンプレミスのONTAPクラスタ、FSx for ONTAPファイルシステムなどをプロジェクトに含めることができます。

組織は1つまたは複数のプロジェクトを持つことができます。プロジェクトは、組織の直下に配置することも、フォルダ内に配置することもできます。

リソース

a_resource_は、BlueXP  で作成または検出した作業環境です。

リソースを作成または検出すると、そのリソースは現在選択されているプロジェクトに関連付けられます。これが、このリソースを関連付ける唯一のプロジェクトである可能性があります。ただし、リソースを組織内の追加プロジェクトに関連付けることもできます。

たとえば、Cloud Volumes ONTAPシステムを1つの追加プロジェクトまたは組織内のすべてのプロジェクトに関連付けることができます。リソースの関連付け方法は、組織のニーズによって異なります。

ヒント コネクタを組織内の別のフォルダまたはプロジェクトに関連付けることもできます。BlueXP  IAMでのコネクタの使用の詳細です。

リソースをフォルダに関連付けるタイミング

リソースをフォルダに関連付けるオプションもありますが、これはオプションであり、特定のユースケースのニーズを満たしています。

_Organization admin_は'リソースをフォルダに関連付けて'_Folderまたはプロジェクトadmin_がそのリソースをフォルダ内の適切なプロジェクトに関連付けることができます

たとえば、次の2つのプロジェクトを含むフォルダがあるとします。

フォルダとフォルダ内に存在する2つのプロジェクト(プロジェクトAとプロジェクトB)を示す図。

_Organization admin_では、リソースを次のフォルダに関連付けることができます。

フォルダ、フォルダに関連付けられているリソース、およびフォルダに存在する2つのプロジェクト(プロジェクトAとプロジェクトB)を示す図。

リソースをフォルダに関連付けても、フォルダ内のすべてのプロジェクトからそのリソースに自動的にアクセスできるわけではありません。ただし、_Folderまたはproject admin_は、リソースを使用可能にするプロジェクトを決定できます。この決定が完了したら、管理者はリソースを適切なプロジェクトに関連付けることができます。

この例では、管理者はリソースをプロジェクトAに関連付けます。

フォルダ、フォルダ内に存在する2つのプロジェクト(プロジェクトAとプロジェクトB)、およびプロジェクトAに関連付けられたリソースを示す図。

プロジェクトAの権限を持つメンバーがリソースにアクセスできるようになりました。

メンバー

組織のメンバーは、ユーザーアカウントまたはサービスアカウントです。サービスアカウントは通常、アプリケーションによって使用され、人間の介入なしに指定されたタスクを完了します。

組織には'_Organization admin_roleを持つユーザーが少なくとも1人存在します(組織を作成するユーザーには'このロールが自動的に割り当てられます)組織に他のメンバーを追加し、リソース階層のさまざまなレベルで異なる権限を割り当てることができます。

ロールと権限

BlueXP  IAMでは、組織メンバーに直接権限を付与することはありません。代わりに、各メンバーにロールを付与します。ロールには、メンバーがリソース階層の特定のレベルで特定のアクションを実行できるようにする一連の権限が含まれています。

リソース階層の特定の部分に権限を付与することで、メンバーがタスクを完了するために必要なリソースのみにアクセス権を制限できます。

階層内でロールを割り当てることができる場所

メンバーをロールに関連付ける場合は、組織全体、特定のフォルダ、または特定のプロジェクトを選択する必要があります。選択したロールにより、階層の選択した部分のリソースにメンバー権限が付与されます。

ロールの継承

ロールを割り当てると、そのロールは組織階層に継承されます。

組織

組織レベルで付与するロールは、組織内のすべてのフォルダ、プロジェクト、およびリソースに継承されます。これは、メンバーが組織内のすべてのものに対する権限を持っていることを意味します。

フォルダ

フォルダーレベルで付与する役割は、フォルダー内のすべてのフォルダー、プロジェクト、およびリソースに継承されます。

たとえば、フォルダーレベルで役割を割り当て、そのフォルダーに3つのプロジェクトがある場合、メンバーにはこれら3つのプロジェクトと関連リソースに対する権限が与えられます。

プロジェクト

プロジェクトレベルで付与したロールは、そのプロジェクトに関連付けられているすべてのリソースに継承されます。

複数のロール

組織階層のさまざまなレベルで、各組織メンバーに役割を割り当てることができます。同じロールでも別のロールでもかまいません。たとえば、プロジェクト1とプロジェクト2のメンバーロールAを割り当てることができます。または、プロジェクト1にメンバーロールAを、プロジェクト2にロールBを割り当てることもできます。

事前定義のロール

BlueXP  では、組織のメンバーに割り当てることができるいくつかの事前定義されたロールがサポートされています。

"IAMの事前定義されたロールの詳細"です。

コネクタ

組織管理者_がコネクタを作成すると、BlueXP  はそのコネクタを組織および現在選択されているプロジェクトに自動的に関連付けます。_Organization admin_は、組織内の任意の場所からそのコネクタに自動的にアクセスできます。ただし、組織内に別のロールを持つ他のメンバーがいる場合は、そのコネクタを他のプロジェクトに関連付けない限り、それらのメンバーはそのコネクタが作成されたプロジェクトからのみそのコネクタにアクセスできます。

次のような場合に、コネクタを別のプロジェクトで使用できるようにすることができます。

  • 組織内のメンバーが既存のコネクタを使用して、別のプロジェクトで追加の作業環境を作成または検出できるようにする場合

  • 既存のリソースを別のプロジェクトに関連付け、そのリソースはコネクターによって管理されている

    追加のプロジェクトに関連付けたリソースがBlueXP  コネクタを使用して検出された場合は、リソースが関連付けられたプロジェクトにコネクタを関連付ける必要もあります。そうしないと、_Organization admin_ロールを持たないメンバーは、コネクタとそれに関連付けられたリソースにBlueXP  キャンバスからアクセスできません。

関連付けは、BlueXP  IAMの*コネクタ*ページから作成できます。

  • コネクタとプロジェクトの関連付け

    コネクタをプロジェクトに関連付けると、プロジェクトを表示しているときに、そのコネクタにBlueXP  キャンバスからアクセスできます。

  • コネクタとフォルダの関連付け

    コネクタをフォルダに関連付けても、フォルダ内のすべてのプロジェクトからコネクタに自動的にアクセスできるわけではありません。組織メンバーは、コネクタを特定のプロジェクトに関連付けるまで、プロジェクトからコネクタにアクセスできません。

    _Organization admin_はコネクタをフォルダに関連付けて、_Folderまたはプロジェクトadmin_がそのコネクタをフォルダ内の適切なプロジェクトに関連付けるかどうかを決定できるようにする場合があります。

IAMの例

次の例は、組織のセットアップ方法を示しています。

シンプルな構成

次の図は、デフォルトのプロジェクトを使用し、フォルダを使用しない組織の簡単な例を示しています。1人のメンバーが組織全体を管理します。

プロジェクト、関連リソース、および1人の組織管理者を持つ組織を示す概念図。

高度な構成

次の図は、フォルダを使用して、ビジネス内の地理的な場所ごとにプロジェクトを整理する組織を示しています。各プロジェクトには、関連するリソースの独自のセットがあります。メンバーには、組織内の各フォルダの組織管理者と管理者が含まれます。

3つのフォルダ、それぞれ3つのプロジェクト、および関連するリソースを持つ組織を示す概念図。組織管理者1人とフォルダ管理者3人の4人のメンバーがいます。

BlueXP  IAMの機能

次に、IAMを使用してBlueXP  組織を管理する例を示します。

  • 特定のメンバーに特定のロールを付与して、必要なタスクのみを完了できるようにします。

  • メンバーの権限を変更する理由は、メンバーが部門を移動した場合や、追加の権限がある場合です。

  • 退社したユーザを削除します。

  • 新しいビジネスユニットによってNetAppストレージが追加されたため、フォルダまたはプロジェクトを階層に追加します。

  • リソースに別のチームが使用できる容量があるため、リソースを別のプロジェクトに関連付けます。

  • メンバーがアクセスできるリソースを表示します。

  • 特定のプロジェクトに関連付けられているメンバーとリソースを表示します。

次の手順