NetAppコンソールのアイデンティティとアクセス管理について学ぶ
NetAppコンソール内の ID およびアクセス管理 (IAM) を使用すると、 NetAppリソースへのアクセスを整理および制御できます。組織の階層に従ってリソースを整理できます。たとえば、地理的な場所、サイト、またはビジネス ユニット別にリソースを整理できます。その後、階層の特定の部分のメンバーに IAM ロールを割り当てて、階層の他の部分にあるリソースへのアクセスを防ぐことができます。
IAMの動作
IAM を使用すると、階層の特定の部分へのアクセス ロールをユーザーに割り当てることで、リソースへのアクセスを許可できます。たとえば、5 つのリソースを持つプロジェクトのフォルダー管理者またはプロジェクト管理者の役割をメンバーに割り当てることができます。
IAM を使用する場合、次のコンポーネントを管理します。
-
組織
-
フォルダ
-
プロジェクト
-
リソース
-
メンバー
-
ロールと権限
-
コンソールエージェント
リソースは階層的に編成されます。
-
組織は階層の最上位にあります。
-
フォルダーは、組織または別のフォルダーの子です。
-
プロジェクトは組織またはフォルダーの子です。
-
リソースは 1 つ以上のフォルダーまたはプロジェクトに関連付けられます。
次の図は、この階層を基本レベルで示しています。
組織
組織は、コンソール IAM システムの最上位レベルであり、通常は会社を表します。組織は、フォルダー、プロジェクト、メンバー、ロール、リソースで構成されます。エージェントは組織内の特定のプロジェクトに関連付けられます。
フォルダ
_フォルダー_を使用すると、関連するプロジェクトをグループ化し、組織内の他のプロジェクトから分離することができます。たとえば、フォルダーは地理的な場所 (EU または米国東部)、サイト (ロンドンまたはトロント)、またはビジネス ユニット (エンジニアリングまたはマーケティング) を表す場合があります。
フォルダーを整理して、プロジェクト、他のフォルダー、またはその両方を含めることができます。これらはオプションです。
プロジェクト
プロジェクト は、組織のメンバーがリソースを管理するために システム ページからアクセスするコンソールのワークスペースを表します。たとえば、プロジェクトには、 Cloud Volumes ONTAPシステム、オンプレミスのONTAPクラスター、または FSx for ONTAPファイル システムを含めることができます。
組織は 1 つまたは複数のプロジェクトを持つことができます。プロジェクトは、組織の直下またはフォルダー内に配置できます。
リソース
リソース は、コンソールで作成または検出されたシステムです。
リソースを作成または検出すると、そのリソースは現在選択されているプロジェクトに関連付けられます。このリソースを関連付ける唯一のプロジェクトである可能性があります。ただし、リソースを組織内の追加のプロジェクトに関連付けることもできます。
たとえば、 Cloud Volumes ONTAPシステムを 1 つの追加プロジェクトに関連付けることも、組織内のすべてのプロジェクトに関連付けることもできます。リソースを関連付ける方法は、組織のニーズによって異なります。
|
エージェントを複数のプロジェクトに関連付けることもできます。IAM でエージェントを使用する方法の詳細 。 |
リソースをフォルダに関連付けるタイミング
リソースをフォルダーに関連付けるオプションもありますが、これはオプションであり、特定のユースケースのニーズを満たすものです。
組織管理者 はリソースをフォルダーに関連付けることができるため、フォルダーまたはプロジェクト管理者 はリソースをフォルダー内の適切なプロジェクトにリンクできます。
たとえば、次の 2 つのプロジェクトを含むフォルダーがあるとします。
組織管理者は、リソースをフォルダに関連付けることができます。
リソースをフォルダーに関連付けても、すべてのプロジェクトがそのリソースにアクセスできるようになるわけではありません。フォルダーまたはプロジェクトの管理者 のみがそれを表示できます。 フォルダーまたはプロジェクト管理者 は、どのプロジェクトがアクセスできるかを決定し、リソースを適切なプロジェクトに関連付けます。
この例では、管理者はリソースをプロジェクト A に関連付けます。
プロジェクト A の権限を持つメンバーは、リソースにアクセスできるようになりました。
メンバー
組織のメンバーは、ユーザー アカウントまたはサービス アカウントです。サービス アカウントは通常、アプリケーションによって、人間の介入なしに指定されたタスクを完了するために使用されます。
各組織には、組織管理者 ロールを持つユーザーが少なくとも 1 人含まれます (コンソールは、組織を作成したユーザーにこのロールを自動的に割り当てます)。組織に他のメンバーを追加し、リソース階層のさまざまなレベルにわたって異なる権限を割り当てることができます。
ロールと権限
組織のメンバーに直接権限を付与することはありません。代わりに、各メンバーにロールを付与します。ロールには、メンバーがリソース階層の特定のレベルで特定のアクションを実行できるようにする一連の権限が含まれています。
階層レベルでロールを付与すると、メンバーが必要とするリソースとサービスへのアクセスが制限されます。
階層内で役割を割り当てることができる場所
メンバーをロールに関連付ける場合は、組織全体、特定のフォルダー、または特定のプロジェクトを選択する必要があります。選択したロールにより、階層の選択した部分にあるリソースに対する権限がメンバーに付与されます。
役割の継承
ロールを割り当てると、そのロールは組織階層の下位に継承されます。
- 組織
-
組織レベルでメンバーにアクセス ロールを付与すると、すべてのフォルダ、プロジェクト、リソースへの権限が付与されます。
- フォルダ
-
フォルダー レベルでアクセス ロールを付与すると、フォルダー内のすべてのフォルダー、プロジェクト、リソースがそのロールを継承します。
たとえば、フォルダー レベルでロールを割り当て、そのフォルダーに 3 つのプロジェクトがある場合、メンバーにはそれらの 3 つのプロジェクトと関連するリソースに対する権限が付与されます。
- プロジェクト
-
プロジェクト レベルでアクセス ロールを付与すると、そのプロジェクトに関連付けられているすべてのリソースがそのロールを継承します。
複数の役割
組織階層のさまざまなレベルで各組織メンバーにロールを割り当てることができます。同じ役割でも異なる役割でも構いません。たとえば、プロジェクト 1 とプロジェクト 2 にメンバー ロール A を割り当てることができます。または、プロジェクト 1 にメンバー ロール A を割り当て、プロジェクト 2 にロール B を割り当てることもできます。
コンソールエージェント
組織管理者がコンソール エージェントを作成すると、コンソールはそのエージェントを組織および現在選択されているプロジェクトに自動的に関連付けます。 組織管理者 は、組織内のどこからでもそのエージェントに自動的にアクセスできます。ただし、組織内に異なる役割を持つ他のメンバーがいる場合、そのエージェントを他のプロジェクトに関連付けない限り、それらのメンバーは、そのエージェントが作成されたプロジェクトからのみそのエージェントにアクセスできます。
次の場合には、コンソール エージェントを別のプロジェクトで使用できるようにします。
-
組織内のメンバーが既存のエージェントを使用して、別のプロジェクトで追加のシステムを作成または検出できるようにしたい
-
既存のリソースを別のプロジェクトに関連付け、そのリソースはコンソール エージェントによって管理されています
追加のプロジェクトに関連付けたリソースがコンソール エージェントを使用して検出された場合は、そのリソースが現在関連付けられているプロジェクトにエージェントを関連付ける必要もあります。そうしないと、組織管理者 ロールを持たないメンバーは、システム ページからエージェントとその関連リソースにアクセスできなくなります。
コンソール IAM 内の エージェント ページから関連付けを作成できます。
-
コンソールエージェントをプロジェクトに関連付ける
コンソール エージェントをプロジェクトに関連付けると、プロジェクトを表示するときに、システム ページからそのエージェントにアクセスできるようになります。
-
コンソールエージェントをフォルダに関連付ける
コンソール エージェントをフォルダーに関連付けても、そのエージェントがフォルダー内のすべてのプロジェクトから自動的にアクセス可能になるわけではありません。エージェントを特定のプロジェクトに関連付けるまで、組織のメンバーはプロジェクトからコンソール エージェントにアクセスできません。
組織管理者 はコンソール エージェントをフォルダーに関連付けて、フォルダーまたはプロジェクト管理者 がそのエージェントをフォルダー内にある適切なプロジェクトに関連付ける決定を下せるようにすることができます。
IAMの例
これらの例は、組織をどのように設定するかを示しています。
シンプルな構成
次の図は、デフォルトのプロジェクトを使用し、フォルダーを使用しない組織の簡単な例を示しています。 1 人のメンバーが組織全体を管理します。
高度な組織
次の図は、フォルダーを使用してビジネス内の各地理的な場所のプロジェクトを整理する組織を示しています。各プロジェクトには、関連するリソースのセットが独自に存在します。メンバーには、組織管理者と組織内の各フォルダの管理者が含まれます。
IAMでできること
次の例では、IAM を使用してコンソール組織を管理する方法について説明します。
-
特定のメンバーに特定のロールを与えて、必要なタスクのみを完了できるようにします。
-
部署が異動になった場合や、追加の責任がある場合などに、メンバーの権限を変更します。
-
退職したユーザーを削除します。
-
新しいビジネス ユニットがNetAppストレージを追加したため、階層にフォルダーまたはプロジェクトを追加します。
-
リソースには別のチームが利用できる容量があるため、そのリソースを別のプロジェクトに関連付けます。
-
メンバーがアクセスできるリソースを表示します。
-
特定のプロジェクトに関連付けられているメンバーとリソースを表示します。