Skip to main content
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

BlueXPのAzureクレデンシャルとマーケットプレイスサブスクリプションを管理

共同作成者
PDF

Azureクレデンシャルを追加および管理して、Azureサブスクリプションのクラウドリソースの導入と管理に必要な権限をBlueXPに付与する。複数の Azure Marketplace サブスクリプションを管理する場合は、それぞれのサブスクリプションを、クレデンシャルページから別々の Azure クレデンシャルに割り当てることができます。

複数の Azure クレデンシャルを使用する場合や、複数の Azure Marketplace サブスクリプションを Cloud Volumes ONTAP に使用する場合は、このページの手順に従います。

概要

Azureサブスクリプションと資格情報をBlueXPに追加するには、2つの方法があります。

  1. 追加の Azure サブスクリプションを Azure 管理 ID に関連付けます。

  2. 別のAzureクレデンシャルを使用してCloud Volumes ONTAP を導入する場合は、サービスプリンシパルを使用してAzure権限を付与し、そのクレデンシャルをBlueXPに追加します。

追加のAzureサブスクリプションを管理対象IDに関連付けます

BlueXPを使用すると、Cloud Volumes ONTAP を導入するAzureクレデンシャルとAzureサブスクリプションを選択できます。管理対象に別の Azure サブスクリプションを選択することはできません を関連付けない限り、アイデンティティプロファイルを作成します "管理された ID" それらの登録と。

このタスクについて

管理対象 ID はです "最初の Azure アカウント" BlueXPからコネクタを展開すると、コネクタを展開すると、BlueXPはBlueXP Operatorロールを作成し、Connector仮想マシンに割り当てました。

手順

  1. Azure ポータルにログインします。

  2. [ サブスクリプション ] サービスを開き、 Cloud Volumes ONTAP を展開するサブスクリプションを選択します。

  3. [Access control(IAM)]*を選択します。

    1. >[ロール割り当ての追加]*を選択し、権限を追加します。

      • BlueXP Operator *ロールを選択します。

        メモ BlueXP Operatorは、コネクタポリシーで指定されているデフォルト名です。ロールに別の名前を選択した場合は、代わりにその名前を選択します。

      • 仮想マシン * へのアクセスを割り当てます。

      • Connector 仮想マシンが作成されたサブスクリプションを選択します。

      • Connector 仮想マシンを選択します。

      • [ 保存( Save ) ] を選択します。

  4. 追加のサブスクリプションについても、この手順を繰り返します。

結果

新しい作業環境を作成するときに、管理対象 ID プロファイルに対して複数の Azure サブスクリプションから選択できるようになりました。

Microsoft Azure プロバイダアカウントを選択する際に複数の Azure サブスクリプションを選択できる機能を示すスクリーンショット。

AzureクレデンシャルをBlueXPに追加します

BlueXPからConnectorを展開すると、BlueXPでは、必要な権限を持つシステム割り当ての管理対象IDを仮想マシンで使用できるようになります。Cloud Volumes ONTAP 用の新しい作業環境を作成すると、デフォルトでAzureクレデンシャルが選択されます。

ヒント 既存のシステムに Connector ソフトウェアを手動でインストールした場合、初期クレデンシャルは追加されません。 "Azure のクレデンシャルと権限について説明します"

_different_azureクレデンシャルを使用してCloud Volumes ONTAPを導入する場合は、各AzureアカウントのMicrosoft Entra IDでサービスプリンシパルを作成して設定し、必要な権限を付与する必要があります。その後、新しい資格情報をBlueXPに追加できます。

サービスプリンシパルを使用してAzure権限を付与します

BlueXPには、Azureで処理を実行するための権限が必要です。Azureアカウントに必要な権限を付与するには、Microsoft Entra IDでサービスプリンシパルを作成して設定し、BlueXPに必要なAzureクレデンシャルを取得します。

このタスクについて

次の図は、Azureで処理を実行するための権限をBlueXPが取得する方法を示しています。1つ以上のAzureサブスクリプションに関連付けられたサービスプリンシパルオブジェクトは、Microsoft Entra IDではBlueXPを表し、必要な権限を許可するカスタムロールに割り当てられます。

この概念図は、BlueXPがAPI呼び出しを行う前にMicrosoft Entra IDから認証と許可を取得する方法を示しています。Active Directoryでは、BlueXPロールが権限を定義します。Azure サブスクリプションと、 Cloud Manger アプリケーションを表すサービスプリンシパルオブジェクトに関連付けています。

手順

  1. Microsoft Entraアプリケーションの作成

  2. アプリケーションをロールに割り当てます

  3. Windows Azure Service Management API 権限を追加します

  4. アプリケーション ID とディレクトリ ID を取得します

  5. クライアントシークレットを作成します

Microsoft Entraアプリケーションの作成

BlueXPでロールベースアクセス制御に使用できるMicrosoft Entraアプリケーションとサービスプリンシパルを作成します。

手順

  1. Active Directoryアプリケーションを作成し、そのアプリケーションをロールに割り当てる権限がAzureにあることを確認します。

    詳細については、を参照してください "Microsoft Azure のドキュメント:「 Required permissions"

  2. Azureポータルで、* Microsoft Entra ID *サービスを開きます。

    は、 Microsoft Azure の Active Directory サービスを示しています。

  3. メニューで*アプリ登録*を選択します。

  4. [New registration]*を選択します。

  5. アプリケーションの詳細を指定します。

    • * 名前 * :アプリケーションの名前を入力します。

    • アカウントの種類:アカウントの種類を選択します(すべてのアカウントはBlueXPで動作します)。

    • * リダイレクト URI *: このフィールドは空白のままにできます。

  6. [*Register] を選択します。

    AD アプリケーションとサービスプリンシパルを作成しておきます。

結果

AD アプリケーションとサービスプリンシパルを作成しておきます。

アプリケーションをロールに割り当てます

Azureで権限を持つように、サービスプリンシパルを1つ以上のAzureサブスクリプションにバインドし、カスタムの「BlueXP Operator」ロールを割り当てる必要があります。

手順

  1. カスタムロールを作成します。

    Azureカスタムロールは、Azureポータル、Azure PowerShell、Azure CLI、またはREST APIを使用して作成できます。Azure CLIを使用してロールを作成する手順を次に示します。別の方法を使用する場合は、を参照してください。 "Azure に関するドキュメント"

    1. の内容をコピーします "Connectorのカスタムロールの権限" JSONファイルに保存します。

    2. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、 JSON ファイルを変更します。

      ユーザが Cloud Volumes ONTAP システムを作成する Azure サブスクリプションごとに ID を追加する必要があります。

      • 例 *

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. JSON ファイルを使用して、 Azure でカスタムロールを作成します。

      次の手順は、 Azure Cloud Shell で Bash を使用してロールを作成する方法を示しています。

      • 開始 "Azure Cloud Shell の略" Bash 環境を選択します。

      • JSON ファイルをアップロードします。

        ファイルをアップロードするオプションを選択できる Azure Cloud Shell のスクリーンショット。

      • Azure CLIを使用してカスタムロールを作成します。

        az role definition create --role-definition Connector_Policy.json

        これで、Connector仮想マシンに割り当てることができるBlueXP Operatorというカスタムロールが作成されました。

  2. ロールにアプリケーションを割り当てます。

    1. Azure ポータルで、 * Subscriptions * サービスを開きます。

    2. サブスクリプションを選択します。

    3. [アクセス制御(IAM)]>[追加]>[ロール割り当ての追加]*を選択します。

    4. [ロール]タブで、[BlueXP Operator]*ロールを選択し、[次へ]*を選択します。

    5. [* Members* (メンバー * ) ] タブで、次の手順を実行します。

      • [* ユーザー、グループ、またはサービスプリンシパル * ] を選択したままにします。

      • [メンバーの選択]*を選択します。

        アプリケーションにロールを追加するときに Members タブを表示する Azure ポータルのスクリーンショット。

      • アプリケーションの名前を検索します。

        次に例を示します。

      Azure ポータルのスクリーンショットで、 Azure ポータルのロール割り当ての追加フォームが表示されています。

      • アプリケーションを選択し、*選択*を選択します。

      • 「 * 次へ * 」を選択します。

    6. [Review + Assign]*を選択します。

      サービスプリンシパルに、 Connector の導入に必要な Azure 権限が付与されるようになりました。

    Cloud Volumes ONTAP を複数の Azure サブスクリプションから導入する場合は、サービスプリンシパルを各サブスクリプションにバインドする必要があります。BlueXPを使用すると、Cloud Volumes ONTAP の導入時に使用するサブスクリプションを選択できます。

Windows Azure Service Management API 権限を追加します

サービスプリンシパルに「 Windows Azure Service Management API 」の権限が必要です。

手順

  1. Microsoft Entra ID *サービスで、*アプリ登録*を選択し、アプリケーションを選択します。

  2. [API permissions]>[Add a permission]*を選択します。

  3. Microsoft API* で、 * Azure Service Management * を選択します。

    Azure Service Management API 権限を示す Azure ポータルのスクリーンショット。

  4. を選択し、[Add permissions]*を選択します。

    Azure Service Management API の追加を示す Azure ポータルのスクリーンショット。

アプリケーション ID とディレクトリ ID を取得します

AzureアカウントをBlueXPに追加するときは、アプリケーション(クライアント)IDとディレクトリ(テナント)IDを指定する必要があります。BlueXPでは、プログラムでサインインするためにIDが使用されます。

手順

  1. Microsoft Entra ID *サービスで、*アプリ登録*を選択し、アプリケーションを選択します。

  2. アプリケーション(クライアント) ID * とディレクトリ(テナント) ID * をコピーします。

    Microsoft Entra IDYのアプリケーションのアプリケーション(クライアント)IDとディレクトリ(テナント)IDを示すスクリーンショット。

    AzureアカウントをBlueXPに追加するときは、アプリケーション(クライアント)IDとディレクトリ(テナント)IDを指定する必要があります。BlueXPでは、プログラムでサインインするためにIDが使用されます。

クライアントシークレットを作成します

クライアントシークレットを作成し、そのシークレットの値をBlueXPに提供して、BlueXPがMicrosoft Entra IDで認証できるようにする必要があります。

手順

  1. Microsoft Entra ID *サービスを開きます。

  2. *アプリ登録*を選択し、アプリケーションを選択します。

  3. [Certificates & secrets]>[New client secret]*を選択します。

  4. シークレットと期間の説明を入力します。

  5. 「 * 追加」を選択します。

  6. クライアントシークレットの値をコピーします。

    Microsoft Entraサービスプリンシパルのクライアントシークレットを示すAzureポータルのスクリーンショット。

    BlueXPでクライアントシークレットを使用してMicrosoft Entra IDで認証できるようになりました。

結果

これでサービスプリンシパルが設定され、アプリケーション(クライアント) ID 、ディレクトリ(テナント) ID 、およびクライアントシークレットの値をコピーしました。Azureアカウントを追加する場合は、BlueXPでこの情報を入力する必要があります。

BlueXPにクレデンシャルを追加します

必要な権限を持つAzureアカウントを入力したら、そのアカウントのクレデンシャルをBlueXPに追加できます。この手順を完了すると、複数の Azure クレデンシャルを使用して Cloud Volumes ONTAP を起動できます。

作業を開始する前に

作成したクレデンシャルをクラウドプロバイダで使用できるようになるまでに数分かかることがあります。数分待ってから、BlueXPに資格情報を追加します。

作業を開始する前に

BlueXP設定を変更する前にコネクタを作成する必要があります。 "コネクタの作成方法を説明します"

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

    BlueXPコンソールの右上にある設定アイコンを示すスクリーンショット。

  2. [クレデンシャルの追加]*を選択し、ウィザードの手順に従います。

    1. * 資格情報の場所 * : Microsoft Azure > Connector * を選択します。

    2. 資格情報の定義:必要な権限を付与するMicrosoft Entraサービスプリンシパルに関する情報を入力します。

      • アプリケーション(クライアント)ID

      • ディレクトリ(テナント)ID

      • クライアントシークレット

    3. * Marketplace サブスクリプション *: 今すぐ登録するか、既存のサブスクリプションを選択して、 Marketplace サブスクリプションをこれらの資格情報に関連付けます。

    4. 確認:新しいクレデンシャルの詳細を確認し、*[追加]*を選択します。

結果

これで、から別のクレデンシャルセットに切り替えることができます [ 詳細と資格情報 ] ページ "新しい作業環境を作成する場合"

"[詳細と資格情報ページで[資格情報の編集]を選択した後の資格情報の選択を示すスクリーンショット。"]

既存のクレデンシャルを管理する

Marketplaceサブスクリプションを関連付け、クレデンシャルを編集し、削除することで、BlueXPに追加済みのAzureクレデンシャルを管理します。

Azure Marketplaceサブスクリプションをクレデンシャルに関連付けます

AzureのクレデンシャルをBlueXPに追加したら、Azure Marketplaceサブスクリプションをそれらのクレデンシャルに関連付けることができます。このサブスクリプションでは、従量課金制のCloud Volumes ONTAP システムを作成したり、他のBlueXPサービスを使用したりできます。

資格情報をBlueXPに追加した後、Azure Marketplaceサブスクリプションを関連付けるシナリオは2つあります。

  • BlueXPに最初に資格情報を追加したときに、サブスクリプションを関連付けませんでした。

  • Azureクレデンシャルに関連付けられているAzure Marketplaceサブスクリプションを変更する。

    現行のMarketplaceサブスクリプションを新しいサブスクリプションに置き換えると、既存のCloud Volumes ONTAP作業環境とすべての新規作業環境のMarketplaceサブスクリプションが変更されます。

作業を開始する前に

BlueXP設定を変更する前にコネクタを作成する必要があります。 "詳細をご確認ください"

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. 一連の資格情報のアクションメニューを選択し、*サブスクリプションの関連付け*を選択します。

    コネクタに関連付けられているクレデンシャルを選択する必要があります。BlueXPに関連付けられているクレデンシャルにMarketplaceサブスクリプションを関連付けることはできません。

    一連の既存のクレデンシャルに対する操作メニューのスクリーンショット。

  3. クレデンシャルを既存のサブスクリプションに関連付けるには、ダウンリストからサブスクリプションを選択し、*[関連付け]*を選択します。

  4. クレデンシャルを新しいサブスクリプションに関連付けるには、*[サブスクリプションの追加]>[続行]*を選択し、Azure Marketplaceで次の手順を実行します。

    1. プロンプトが表示されたら、Azureアカウントにログインします。

    2. [サブスクライブ]*を選択します。

    3. フォームに必要事項を入力し、* Subscribe *を選択します。

    4. サブスクリプションプロセスが完了したら、*[今すぐアカウントを設定する]*を選択します。

      BlueXPのWebサイトにリダイレクトされます

    5. [サブスクリプションの割り当て*]ページで、次の操作を行います。

      • このサブスクリプションを関連付けるBlueXP  組織またはアカウントを選択します。

      • [既存のサブスクリプションを置き換える]*フィールドで、1つの組織またはアカウントの既存のサブスクリプションをこの新しいサブスクリプションに自動的に置き換えるかどうかを選択します。

        BlueXP  は、組織またはアカウントのすべてのクレデンシャルの既存のサブスクリプションをこの新しいサブスクリプションに置き換えます。一連の資格情報がサブスクリプションに関連付けられていない場合、この新しいサブスクリプションはこれらの資格情報に関連付けられません。

      他のすべての組織またはアカウントについては、これらの手順を繰り返して手動でサブスクリプションを関連付ける必要があります。

      • [ 保存( Save ) ] を選択します。

        次のビデオでは、Azure Marketplaceでのサブスクライブ手順を紹介しています。

    Azure MarketplaceでBlueXPにサブスクライブ

クレデンシャルを編集する

Azureサービスクレデンシャルの詳細を変更して、BlueXPでAzureクレデンシャルを編集します。たとえば、サービスプリンシパルアプリケーション用に新しいシークレットが作成された場合は、クライアントシークレットの更新が必要になることがあります。

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. または[Account credentials]ページで、一連のクレデンシャルのアクションメニューを選択し、[Edit Credentials]*を選択します。

  3. 必要な変更を行い、*適用*を選択します。

クレデンシャルを削除

一連の資格情報が不要になった場合は、BlueXPから削除できます。削除できるのは、作業環境に関連付けられていないクレデンシャルのみです。

手順

  1. BlueXPコンソールの右上で、[設定]アイコンを選択し、*[クレデンシャル]*を選択します。

  2. または[Account credentials]ページで、一連のクレデンシャルのアクションメニューを選択し、[Delete Credentials]*を選択します。

  3. [削除]*を選択して確定します。