組織は、コンソール IAM システムの最上位レベルであり、通常は会社を表します。組織は、フォルダー、プロジェクト、メンバー、ロール、リソースで構成されます。エージェントは組織内の特定のプロジェクトに関連付けられます。

_フォルダー_を使用すると、関連するプロジェクトをグループ化し、組織内の他のプロジェクトから分離することができます。たとえば、フォルダーは地理的な場所 (EU または米国東部)、サイト (ロンドンまたはトロント)、またはビジネス ユニット (エンジニアリングまたはマーケティング) を表す場合があります。

フォルダーを整理して、プロジェクト、他のフォルダー、またはその両方を含めることができます。これらはオプションです。

プロジェクト は、組織のメンバーがリソースを管理するために システム ページからアクセスするコンソールのワークスペースを表します。たとえば、プロジェクトには、 Cloud Volumes ONTAPシステム、オンプレミスのONTAPクラスター、または FSx for ONTAPファイル システムを含めることができます。

組織は 1 つまたは複数のプロジェクトを持つことができます。プロジェクトは、組織の直下またはフォルダー内に配置できます。

リソース は、コンソールで作成または検出されたシステムです。

リソースを作成または検出すると、そのリソースは現在選択されているプロジェクトに関連付けられます。このリソースを関連付ける唯一のプロジェクトである可能性があります。ただし、リソースを組織内の追加のプロジェクトに関連付けることもできます。

たとえば、 Cloud Volumes ONTAPシステムを 1 つの追加プロジェクトに関連付けることも、組織内のすべてのプロジェクトに関連付けることもできます。リソースを関連付ける方法は、組織のニーズによって異なります。

組織のメンバーは、ユーザー アカウントまたはサービス アカウントです。サービス アカウントは通常、アプリケーションによって、人間の介入なしに指定されたタスクを完了するために使用されます。

各組織には、組織管理者 ロールを持つユーザーが少なくとも 1 人含まれます (コンソールは、組織を作成したユーザーにこのロールを自動的に割り当てます)。組織に他のメンバーを追加し、リソース階層のさまざまなレベルにわたって異なる権限を割り当てることができます。

組織のメンバーに直接権限を付与することはありません。代わりに、各メンバーにロールを付与します。ロールには、メンバーがリソース階層の特定のレベルで特定のアクションを実行できるようにする一連の権限が含まれています。

階層レベルでロールを付与すると、メンバーが必要とするリソースとサービスへのアクセスが制限されます。

組織管理者がコンソール エージェントを作成すると、コンソールはそのエージェントを組織および現在選択されているプロジェクトに自動的に関連付けます。 組織管理者 は、組織内のどこからでもそのエージェントに自動的にアクセスできます。ただし、組織内に異なる役割を持つ他のメンバーがいる場合、そのエージェントを他のプロジェクトに関連付けない限り、それらのメンバーは、そのエージェントが作成されたプロジェクトからのみそのエージェントにアクセスできます。

次の場合には、コンソール エージェントを別のプロジェクトで使用できるようにします。

コンソール IAM 内の エージェント ページから関連付けを作成できます。

次の図は、デフォルトのプロジェクトを使用し、フォルダーを使用しない組織の簡単な例を示しています。 1 人のメンバーが組織全体を管理します。

次の図は、フォルダーを使用してビジネス内の各地理的な場所のプロジェクトを整理する組織を示しています。各プロジェクトには、関連するリソースのセットが独自に存在します。メンバーには、組織管理者と組織内の各フォルダの管理者が含まれます。