Skip to main content
NetApp Console setup and administration
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

NetAppコンソールの Azure 資格情報とマーケットプレイス サブスクリプションを管理する

共同作成者 netapp-tonias
PDF

Azure 資格情報を追加および管理して、 NetAppコンソールが Azure サブスクリプション内のクラウド リソースを展開および管理するために必要な権限を持つようにします。複数の Azure Marketplace サブスクリプションを管理する場合は、[資格情報] ページから各サブスクリプションを異なる Azure 資格情報に割り当てることができます。

概要

コンソールで追加の Azure サブスクリプションと資格情報を追加するには、2 つの方法があります。

  1. 追加の Azure サブスクリプションを Azure マネージド ID に関連付けます。

  2. 異なる Azure 資格情報を使用してCloud Volumes ONTAPをデプロイするには、サービス プリンシパルを使用して Azure 権限を付与し、その資格情報をコンソールに追加します。

追加の Azure サブスクリプションをマネージド ID に関連付ける

コンソールを使用すると、Cloud Volumes ONTAPをデプロイする Azure 資格情報と Azure サブスクリプションを選択できます。マネージドIDプロファイルに別のAzureサブスクリプションを選択することはできません。 "マネージドID"それらのサブスクリプションで。

タスク概要

マネージドIDとは"最初のAzureアカウント"コンソールからコンソール エージェントを展開する場合。コンソール エージェントを展開すると、コンソールはコンソール エージェント仮想マシンにコンソール オペレータ ロールを割り当てます。

手順

  1. Azure ポータルにログインします。

  2. サブスクリプション サービスを開き、 Cloud Volumes ONTAPをデプロイするサブスクリプションを選択します。

  3. アクセス制御 (IAM) を選択します。

    1. 追加 > ロールの割り当ての追加 を選択し、権限を追加します。

      • コンソールオペレーター ロールを選択します。

        メモ コンソール オペレータは、コンソール エージェント ポリシーで提供されるデフォルト名です。ロールに別の名前を選択した場合は、代わりにその名前を選択します。

      • *仮想マシン*へのアクセスを割り当てます。

      • コンソール エージェント仮想マシンが作成されたサブスクリプションを選択します。

      • コンソール エージェント仮想マシンを選択します。

      • *保存*を選択します。

  4. 追加のサブスクリプションについては、これらの手順を繰り返します。

結果

新しいシステムを作成するときに、マネージド ID プロファイルに対して複数の Azure サブスクリプションから選択できるようになりました。

Microsoft Azure プロバイダー アカウントを選択するときに複数の Azure サブスクリプションを選択できる機能を示すスクリーンショット。

NetAppコンソールに Azure 資格情報を追加する

コンソールからコンソール エージェントを展開すると、コンソールは必要なアクセス許可を持つ仮想マシン上でシステム割り当てのマネージド ID を有効にします。 Cloud Volumes ONTAPの新しいシステムを作成するときに、コンソールはデフォルトでこれらの Azure 資格情報を選択します。

ヒント 既存のシステムにコンソール エージェント ソフトウェアを手動でインストールした場合、資格情報の初期セットは追加されません。"Azure の資格情報と権限について学習する"

異なる Azure 資格情報を使用してCloud Volumes ONTAPをデプロイする場合は、Azure アカウントごとに Microsoft Entra ID でサービス プリンシパルを作成して設定し、必要な権限を付与する必要があります。その後、新しい資格情報をコンソールに追加できます。

サービス プリンシパルを使用して Azure 権限を付与する

コンソールには、Azure でアクションを実行するための権限が必要です。 Microsoft Entra ID でサービス プリンシパルを作成して設定し、コンソールに必要な Azure 資格情報を取得することで、Azure アカウントに必要な権限を付与できます。

タスク概要

次の図は、コンソールが Azure で操作を実行するための権限を取得する方法を示しています。 1 つ以上の Azure サブスクリプションに関連付けられたサービス プリンシパル オブジェクトは、Microsoft Entra ID のコンソールを表し、必要なアクセス許可を許可するカスタム ロールに割り当てられます。

API 呼び出しを行う前に、コンソールが Microsoft Entra ID から認証と承認を取得する様子を示す概念図。 Active Directory では、コンソール ロールによって権限が定義されます。これは、1 つ以上の Azure サブスクリプションと、Cloud Manger アプリケーションを表すサービス プリンシパル オブジェクトに関連付けられています。

手順

  1. Microsoft Entra アプリケーションを作成する

  2. アプリケーションをロールに割り当てる

  3. Windows Azure サービス管理 API 権限を追加する

  4. アプリケーションIDとディレクトリIDを取得する

  5. クライアントシークレットを作成する

Microsoft Entra アプリケーションを作成する

コンソールがロールベースのアクセス制御に使用できる Microsoft Entra アプリケーションとサービス プリンシパルを作成します。

手順

  1. Azure で Active Directory アプリケーションを作成し、そのアプリケーションをロールに割り当てるためのアクセス許可があることを確認します。

    詳細については、 "Microsoft Azure ドキュメント: 必要な権限"

  2. Azure ポータルから、Microsoft Entra ID サービスを開きます。

    Microsoft Azure の Active Directory サービスを表示します。

  3. メニューで*アプリ登録*を選択します。

  4. *新規登録*を選択します。

  5. アプリケーションの詳細を指定します。

    • 名前: アプリケーションの名前を入力します。

    • アカウント タイプ: アカウント タイプを選択します (いずれのタイプでもNetAppコンソールで使用できます)。

    • リダイレクト URI: このフィールドは空白のままにすることができます。

  6. *登録*を選択します。

    AD アプリケーションとサービス プリンシパルを作成しました。

アプリケーションをロールに割り当てる

サービス プリンシパルを 1 つ以上の Azure サブスクリプションにバインドし、カスタムの「コンソール オペレーター」ロールを割り当てて、コンソールに Azure での権限を与える必要があります。

手順

  1. カスタム ロールを作成します。

    Azure ポータル、Azure PowerShell、Azure CLI、または REST API を使用して、Azure カスタム ロールを作成できます。次の手順は、Azure CLI を使用してロールを作成する方法を示しています。別の方法をご希望の場合は、 "Azureドキュメント"

    1. の内容をコピーします"コンソールエージェントのカスタムロール権限"JSON ファイルに保存します。

    2. 割り当て可能なスコープに Azure サブスクリプション ID を追加して、JSON ファイルを変更します。

      ユーザーがCloud Volumes ONTAPシステムを作成する各 Azure サブスクリプションの ID を追加する必要があります。

      "AssignableScopes": [
"/subscriptions/d333af45-0d07-4154-943d-c25fbzzzzzzz",
"/subscriptions/54b91999-b3e6-4599-908e-416e0zzzzzzz",
"/subscriptions/398e471c-3b42-4ae7-9b59-ce5bbzzzzzzz"

    3. JSON ファイルを使用して、Azure でカスタム ロールを作成します。

      次の手順では、Azure Cloud Shell で Bash を使用してロールを作成する方法について説明します。

      • 始める "Azure クラウド シェル"Bash 環境を選択します。

      • JSON ファイルをアップロードします。

        ファイルをアップロードするオプションを選択できる Azure Cloud Shell のスクリーンショット。

      • Azure CLI を使用してカスタム ロールを作成します。

        az role definition create --role-definition Connector_Policy.json

        これで、コンソール エージェント仮想マシンに割り当てることができる、コンソール オペレーターと呼ばれるカスタム ロールが作成されます。

  2. アプリケーションをロールに割り当てます。

    1. Azure ポータルから、サブスクリプション サービスを開きます。

    2. サブスクリプションを選択します。

    3. アクセス制御 (IAM) > 追加 > ロール割り当ての追加 を選択します。

    4. *役割*タブで、*コンソールオペレーター*役割を選択し、*次へ*を選択します。

    5. *メンバー*タブで、次の手順を実行します。

      • *ユーザー、グループ、またはサービス プリンシパル*を選択したままにします。

      • *メンバーを選択*を選択します。

        アプリケーションにロールを追加するときにメンバー ページを表示する Azure ポータルのスクリーンショット。

      • アプリケーションの名前を検索します。

        次に例を示します。

      Azure ポータルの「ロールの割り当ての追加」フォームが表示された Azure ポータルのスクリーンショット。

      • アプリケーションを選択し、[選択] を選択します。

      • *次へ*を選択します。

    6. *レビュー + 割り当て*を選択します。

      これで、サービス プリンシパルに、コンソール エージェントをデプロイするために必要な Azure アクセス許可が付与されました。

    複数の Azure サブスクリプションからCloud Volumes ONTAPをデプロイする場合は、サービス プリンシパルを各サブスクリプションにバインドする必要があります。 NetAppコンソールでは、 Cloud Volumes ONTAP をデプロイするときに使用するサブスクリプションを選択できます。

Windows Azure サービス管理 API 権限を追加する

サービス プリンシパルに「Windows Azure サービス管理 API」権限を割り当てる必要があります。

手順

  1. Microsoft Entra ID サービスで、アプリの登録 を選択し、アプリケーションを選択します。

  2. API 権限 > 権限の追加 を選択します。

  3. Microsoft API の下で、Azure Service Management を選択します。

    Azure サービス管理 API のアクセス許可を示す Azure ポータルのスクリーンショット。

  4. 組織ユーザーとして Azure サービス管理にアクセスする を選択し、権限の追加 を選択します。

    Azure サービス管理 API の追加を示す Azure ポータルのスクリーンショット。

アプリケーションIDとディレクトリIDを取得する

Azure アカウントをコンソールに追加するときは、アプリケーションのアプリケーション (クライアント) ID とディレクトリ (テナント) ID を指定する必要があります。コンソールは ID を使用してプログラムでサインインします。

手順

  1. Microsoft Entra ID サービスで、アプリの登録 を選択し、アプリケーションを選択します。

  2. アプリケーション (クライアント) IDディレクトリ (テナント) ID をコピーします。

    Microsoft Entra IDy 内のアプリケーションのアプリケーション (クライアント) ID とディレクトリ (テナント) ID を示すスクリーンショット。

    Azure アカウントをコンソールに追加するときは、アプリケーションのアプリケーション (クライアント) ID とディレクトリ (テナント) ID を指定する必要があります。コンソールは ID を使用してプログラムでサインインします。

クライアントシークレットを作成する

クライアント シークレットを作成し、その値をコンソールに提供して、Microsoft Entra ID による認証を行います。

手順

  1. Microsoft Entra ID サービスを開きます。

  2. *アプリ登録*を選択し、アプリケーションを選択します。

  3. *証明書とシークレット > 新しいクライアント シークレット*を選択します。

  4. シークレットの説明と期間を指定します。

  5. *追加*を選択します。

  6. クライアント シークレットの値をコピーします。

    Microsoft Entra サービス プリンシパルのクライアント シークレットを表示する Azure ポータルのスクリーンショット。

結果

これでサービス プリンシパルが設定され、アプリケーション (クライアント) ID、ディレクトリ (テナント) ID、およびクライアント シークレットの値がコピーされているはずです。 Azure アカウントを追加するときに、コンソールにこの情報を入力する必要があります。

コンソールに資格情報を追加する

Azure アカウントに必要な権限を付与したら、そのアカウントの資格情報をコンソールに追加できます。この手順を完了すると、さまざまな Azure 資格情報を使用してCloud Volumes ONTAP を起動できるようになります。

開始する前に

クラウド プロバイダーでこれらの資格情報を作成したばかりの場合は、使用できるようになるまでに数分かかることがあります。資格情報をコンソールに追加する前に、数分お待ちください。

開始する前に

コンソール設定を変更する前に、コンソール エージェントを作成する必要があります。"コンソールエージェントの作成方法を学ぶ"

手順

  1. *管理 > 資格情報*を選択します。

  2. *資格情報の追加*を選択し、ウィザードの手順に従います。

    1. 資格情報の場所: Microsoft Azure > エージェント を選択します。

    2. 資格情報の定義: 必要な権限を付与する Microsoft Entra サービス プリンシパルに関する情報を入力します。

      • アプリケーション(クライアント)ID

      • ディレクトリ(テナント)ID

      • クライアントシークレット

    3. マーケットプレイス サブスクリプション: 今すぐサブスクライブするか、既存のサブスクリプションを選択して、マーケットプレイス サブスクリプションをこれらの資格情報に関連付けます。

    4. 確認: 新しい資格情報の詳細を確認し、[追加] を選択します。

結果

詳細と資格情報ページから別の資格情報セットに切り替えることができます "コンソールにシステムを追加するとき"

「詳細と資格情報」ページで「資格情報の編集」を選択した後、資格情報を選択する様子を示すスクリーンショット。

既存の資格情報を管理する

Marketplace サブスクリプションを関連付けたり、資格情報を編集したり、削除したりすることで、コンソールに既に追加した Azure 資格情報を管理します。

Azure Marketplace サブスクリプションを資格情報に関連付ける

Azure 資格情報をコンソールに追加したら、Azure Marketplace サブスクリプションをそれらの資格情報に関連付けることができます。サブスクリプションを使用すると、従量課金制のCloud Volumes ONTAPシステムを作成し、 NetAppデータ サービスにアクセスできます。

コンソールに資格情報を追加した後に、Azure Marketplace サブスクリプションを関連付けるシナリオは 2 つあります。

  • 資格情報をコンソールに最初に追加したときに、サブスクリプションを関連付けませんでした。

  • Azure 資格情報に関連付けられている Azure Marketplace サブスクリプションを変更します。

    現在のマーケットプレイス サブスクリプションを置き換えると、既存および新しいCloud Volumes ONTAPシステム用に更新されます。

手順

  1. *管理 > *資格情報*を選択します。

  2. *組織の資格情報*を選択します。

  3. コンソール エージェントに関連付けられている資格情報のセットのアクション メニューを選択し、[サブスクリプションの構成] を選択します。

    コンソール エージェントに関連付けられている資格情報を選択する必要があります。 NetAppコンソールに関連付けられている資格情報にマーケットプレイス サブスクリプションを関連付けることはできません。

  4. 資格情報を既存のサブスクリプションに関連付けるには、ドロップダウン リストからサブスクリプションを選択し、[構成] を選択します。

  5. 資格情報を新しいサブスクリプションに関連付けるには、[サブスクリプションの追加] > [続行] を選択し、Azure Marketplace の手順に従います。

    1. プロンプトが表示されたら、Azure アカウントにログインします。

    2. *購読*を選択します。

    3. フォームに記入し、「購読」を選択します。

    4. サブスクリプションプロセスが完了したら、「今すぐアカウントを構成」を選択します。

      NetAppコンソールにリダイレクトされます。

    5. *サブスクリプションの割り当て*ページから:

      • このサブスクリプションを関連付けるコンソール組織またはアカウントを選択します。

      • 既存のサブスクリプションを置き換える フィールドで、1 つの組織またはアカウントの既存のサブスクリプションをこの新しいサブスクリプションに自動的に置き換えるかどうかを選択します。

        コンソールは、組織またはアカウント内のすべての資格情報の既存のサブスクリプションをこの新しいサブスクリプションに置き換えます。資格情報のセットがサブスクリプションに関連付けられたことがない場合、この新しいサブスクリプションはそれらの資格情報に関連付けられません。

      他のすべての組織またはアカウントについては、これらの手順を繰り返して、サブスクリプションを手動で関連付ける必要があります。

      • *保存*を選択します。

        次のビデオでは、Azure Marketplace からサブスクライブする手順を示します。

    Azure Marketplace からNetApp Intelligent Services をサブスクライブする

資格情報を編集する

コンソールで Azure 資格情報を編集します。たとえば、サービス プリンシパル アプリケーションに新しいシークレットが作成された場合は、クライアント シークレットを更新できます。

手順

  1. *管理 > 資格情報*を選択します。

  2. *組織の資格情報*を選択します。

  3. 資格情報セットのアクション メニューを選択し、[資格情報の編集] を選択します。

  4. 必要な変更を加えて、[適用] を選択します。

資格情報を削除する

資格情報セットが不要になった場合は、削除できます。システムに関連付けられていない資格情報のみを削除できます。

手順

  1. *管理 > 資格情報*を選択します。

  2. *組織の資格情報*を選択します。

  3. *組織の資格情報*ページで、資格情報セットのアクション メニューを選択し、*資格情報の削除*を選択します。

  4. *削除*を選択して確認します。