NetApp Consoleのアイデンティティとアクセス管理について学ぶ
変更を提案
PDF
NetAppコンソールの ID およびアクセス管理 (IAM) を使用して、 NetAppリソースを整理し、場所、部門、プロジェクトなどのビジネス構造に応じてアクセスを制御します。
リソースは階層的に配置されます。つまり、組織が一番上にあり、次にフォルダー (他のフォルダーまたはプロジェクトを含むことができます)、そしてプロジェクト (ストレージ システム、ワークロード、エージェントを含む) が続きます。
組織、フォルダ、またはプロジェクト レベルでメンバーにロールベースのアクセス制御 (RBAC) 権限を割り当て、ユーザーがリソースに適切にアクセスできるようにします。
|
NetApp Consoleで IAM を管理するには、スーパー管理者、組織管理者、または フォルダまたはプロジェクト管理者 のロールが必要です。 |
次の図は、この階層を基本レベルで示しています。
]
アイデンティティおよびアクセス管理コンポーネント
NetApp Consoleでは、組織コンポーネント、リソース コンポーネント、ユーザー アクセス コンポーネントという 3 つの主要コンポーネントを使用してストレージ リソースを整理します。
組織内のプロジェクトとフォルダ
IAM 構造内では、組織、プロジェクト、フォルダという 3 つの組織コンポーネントを操作します。これらのいずれかのレベルでユーザーにロールを割り当てることで、ユーザーにアクセスを許可できます。
- 組織
-
組織は、コンソール IAM システムの最上位レベルであり、通常は会社を表します。組織は、フォルダー、プロジェクト、メンバー、ロール、リソースで構成されます。エージェントは組織内の特定のプロジェクトに関連付けられます。
- プロジェクト
-
プロジェクト は、ストレージ リソースへのアクセスを提供するために使用されます。誰かがアクセスできるようにするには、プロジェクトにリソースを割り当てる必要があります。1 つのプロジェクトに複数のリソースを割り当てたり、複数のプロジェクトを持つこともできます。次に、ユーザーにプロジェクトへの権限を割り当てて、プロジェクト内のリソースにアクセスできるようにします。
たとえば、ニーズに応じて、オンプレミスのONTAPシステムを単一のプロジェクトまたは組織内のすべてのプロジェクトに関連付けることができます。
- フォルダ
-
関連するプロジェクトを フォルダー にグループ化して、場所、サイト、またはビジネス ユニットごとに整理します。リソースをフォルダーに直接関連付けることはできませんが、フォルダー レベルでユーザーにロールを割り当てると、そのフォルダー内のすべてのプロジェクトにアクセスできるようになります。
リソース
リソース には、ストレージ システム、 Keystoneサブスクリプション、コンソール エージェントが含まれます。
+ 誰かがリソースにアクセスするには、そのリソースをプロジェクトに関連付ける必要があります。
+
たとえば、 Cloud Volumes ONTAPシステムを 1 つのプロジェクトまたは組織内のすべてのプロジェクトに関連付けることができます。リソースを関連付ける方法は、組織のニーズによって異なります。
+
- ストレージシステムとKeystoneサブスクリプション
-
ストレージ システムは、 NetApp Consoleで管理する主要なリソースです。NetApp Consoleは、オンプレミスとクラウドの両方のストレージ システムの管理をサポートします。誰かがアクセスできるようにするには、プロジェクトにストレージ システムを追加する必要があります。
ストレージ システムは追加されたプロジェクトに自動的に関連付けられますが、リソース ページから他のプロジェクトまたはフォルダーに関連付けることもできます。
Keystoneサブスクリプションは、 NetApp Consoleでユーザーにサブスクリプションへのアクセスを許可するためにプロジェクトに関連付けることができるリソースでもあります。
- コンソールエージェント
-
組織管理者は、ストレージ システムを管理し、 NetAppデータ サービスを有効にするためにコンソール エージェントを作成します。エージェントは最初は作成されたプロジェクトに関連付けられますが、管理者はエージェント ページから他のプロジェクトやフォルダーに追加できます。
エージェントをプロジェクトに関連付けると、そのプロジェクト内のリソースを管理できるようになります。一方、エージェントをフォルダに関連付けると、フォルダ管理者またはプロジェクト管理者はどのプロジェクトでエージェントを使用するかを決定できるようになります。管理機能を提供するには、エージェントを特定のプロジェクトにリンクする必要があります。
メンバーと役割
- メンバー
-
組織のメンバーは、ユーザー アカウントまたはサービス アカウントです。サービス アカウントは通常、アプリケーションによって、人間の介入なしに指定されたタスクを完了するために使用されます。
NetApp Consoleにサインアップした後、メンバーを組織に追加する必要があります。追加したら、リソースへのアクセスを提供するロールを割り当てることができます。コンソール内からサービス アカウントを手動で追加することも、 NetApp ConsoleIAM API を通じてサービス アカウントの作成と管理を自動化することもできます。
- アクセスロール
-
コンソールには、組織のメンバーに割り当てることができるアクセス ロールが用意されています。
メンバーをロールに関連付けると、組織全体、特定のフォルダー、または特定のプロジェクトに対してそのロールを付与できます。選択したロールにより、階層の選択した部分にあるリソースに対する権限がメンバーに付与されます。
NetApp Consoleは、「最小権限」の原則に準拠したきめ細かなロールを提供します。つまり、アクセスロールは、ユーザーに必要なものだけへのアクセスを許可するように設計されています。
つまり、ユーザーの職務が拡大するにつれて、複数のロールが割り当てられる可能性があります。
IAM戦略の例
小規模組織戦略
ユーザー数が 50 人未満で、ストレージ管理が集中している組織の場合は、スーパー管理者とスーパー閲覧者のロールを使用した簡素化されたアプローチを検討してください。
例:ABC株式会社(5人チーム)
-
構造: 3 つのプロジェクト (プロダクション、開発、バックアップ) を持つ単一の組織
-
役割:
-
上級メンバー 2 名: 完全な管理アクセス権限を持つ スーパー管理者 ロール
-
3 人のチームメンバー: 変更権限のない監視用の スーパー ビューアー ロール
-
-
エージェント戦略: 共有リソースアクセスのためにすべてのプロジェクトに関連付けられた単一のエージェント
-
利点: 管理が簡素化され、役割の複雑さが軽減され、幅広いアクセスを必要とするチームに適しています
多地域企業戦略
地域的な事業や専門チームを持つ大規模な組織の場合は、地理的または事業部門の境界を表すフォルダーを使用して階層的なアプローチを実装します。
例: XYZ株式会社(多国籍企業)
-
構造: 組織 > 地域フォルダ (北米、ヨーロッパ、アジア太平洋) > 地域ごとのプロジェクトフォルダ
-
プラットフォームの役割:
-
1 組織管理者: グローバルな監視とポリシー管理
-
3 フォルダまたはプロジェクト管理者: 地域管理 (地域ごとに 1 人)
-
1 フェデレーション管理者: 企業IDプロバイダーの統合
-
-
リージョン別のストレージの役割:
-
9 ストレージ管理者: 割り当てられたリージョン内のストレージ システムを検出して管理します
-
2 ストレージビューア: リージョン間のストレージリソースを監視する
-
1 システムヘルススペシャリスト: システムを変更せずにストレージのヘルスを管理します
-
-
データ サービスの役割:
-
バックアップおよびリカバリ管理者: バックアップ責任に基づいたプロジェクトごと
-
ランサムウェア耐性管理者: プロジェクト全体のセキュリティチームの監視
-
-
エージェント戦略: 適切な地理的プロジェクトに関連付けられた地域エージェント
-
利点: 役割の分離、地域の自治、現地の規制への準拠によるセキュリティの強化
部門別専門化戦略
特定のデータ サービス アクセスを必要とする専門チームを持つ組織の場合は、機能上の責任に基づいて対象を絞ったロールの割り当てを使用します。
例: TechCorp (中規模テクノロジー企業)
-
構造: 組織 > 部門フォルダ (IT、セキュリティ、開発) > プロジェクト固有のリソース
-
専門的な役割:
-
セキュリティ チーム: ランサムウェア耐性管理者 および 分類閲覧者 の役割
-
バックアップ チーム: 包括的なバックアップ操作を担当する バックアップおよびリカバリ スーパー管理者
-
開発チーム:テスト環境管理のための ストレージ管理者
-
コンプライアンス チーム: 監視およびサポートケース管理を行う 運用サポート アナリスト
-
-
エージェント戦略: リソースの所有権に基づいて部門プロジェクトにリンクされたエージェント
-
利点: カスタマイズされたアクセス制御、運用効率の向上、専門的なタスクに対する明確な説明責任