NetApp Console のアイデンティティとアクセス管理に関するよくある質問
変更を提案
PDF
この FAQ では、NetApp Console におけるアイデンティティとアクセス管理(IAM)に関するよくある質問に回答します。組織のアクセスを計画および実装する際に役立つ、ロールベースのアクセス制御の概念、階層の動作、およびメンバー管理に焦点を当てています。
開始
サインアップすると、NetApp Consoleは組織を作成し、組織管理者1名とデフォルトプロジェクト1つを設定します。そこから先、推奨されるセットアップ手順は以下のとおりです:
-
デフォルトのプロジェクトを編集するか、ビジネス階層に合わせて追加のプロジェクトやフォルダを作成します。
-
組織にメンバーを追加します。
-
リソースを追加または検出する。
-
必要に応じて、リソースを他のプロジェクトに関連付ける。
リソース階層:組織、フォルダ、プロジェクト
フォルダは、組織構造やロールの委任のために、関連するプロジェクトをグループ化します。プロジェクトにはリソースが含まれており、メンバーはそこからそれらのリソースにアクセスできます。リソースはフォルダに直接関連付けることはできません。プロジェクトに関連付ける必要があります。フォルダレベルでロールを割り当てると、そのメンバーはすべての子プロジェクトとフォルダへのアクセス権を継承します。
いいえ。フォルダは、IAM権限を持つメンバー(組織管理者、フォルダ管理者、プロジェクト管理者、スーパー管理者)のみに表示されます。通常のメンバーはプロジェクトに直接アクセスするため、フォルダは表示されません。
いいえ。リソースはフォルダではなく、プロジェクトに関連付ける必要があります。ただし、組織管理者はリソースをフォルダに関連付けることができ、そうすることでフォルダ管理者またはプロジェクト管理者は、そのフォルダ内の適切なプロジェクトにリソースをリンクできるようになります。
組織のリソース構造では、最大7階層のフォルダとプロジェクトを作成できます。
プロジェクトに関連付けることができるリソースには、次のものがあります:
-
ストレージ システム
-
Keystoneのサブスクリプション
-
一部のバックアップおよびリカバリのワークロード
-
コンソールエージェント
ロールと権限
組織管理者は、組織全体のすべてのプロジェクトとフォルダに無制限にアクセスでき、NetApp Consoleエージェントを作成できる唯一のロールです。フォルダ管理者またはプロジェクト管理者は、割り当てられた特定のフォルダとプロジェクトのみを管理でき、NetApp Consoleエージェントを作成することはできません。
組織管理者ロールを持つユーザーのみがConsoleエージェントを作成できます。フォルダ管理者またはプロジェクト管理者は、Consoleエージェントを作成できません。
アラートや監視ツールへのアクセス、およびサポートケースの入力と管理を可能にする*Operation support analyst*ロールを割り当ててください。
いいえ。上位レベルから継承された下位レベルのメンバーアクセス権限は変更できません。アクセス権限を変更するには、その権限が最初に割り当てられた上位階層(フォルダまたは組織)で、メンバーの権限を変更する必要があります。
メンバーとアクセスの管理
ユーザーを組織、フォルダー、またはプロジェクトに追加する前に、そのユーザーがNetApp Consoleにすでに登録されている必要があります。この要件は、フェデレーショングループのメンバーであるユーザーにも適用されます。
いいえ。連合グループにロールが割り当てられている場合でも、個々のユーザーがリソースにアクセスするには、次の2つの要件を満たす必要があります:
-
ユーザーは既にNetApp Consoleに登録済みである必要があります。
-
ユーザには、NetApp Console で明示的にロールを割り当てる必要があります。
NetApp では、これらのユーザーに組織閲覧者などの最小限のアクセスロールを割り当てることを推奨します。
コンソールエージェント
コンソールエージェントは、作成されたプロジェクトに最初に関連付けられます。作成後、管理者はエージェントページから他のプロジェクトにエージェントを追加したり、フォルダに関連付けたりできます。