こんにちは。
てくさぽBLOGメンバーの高村です。
今回は IBM Cloudアカウントとユーザのアクセス管理についてご紹介します。
IBM Cloud を利用する上で欠かせない情報になりますので、ぜひ最後までお読みいただければと思います。
IBM Cloudのアカウントとは?
IBM Cloudアカウントとは IBM Cloud を利用するために必要な資格情報で、IBM Cloud を利用するには、まず IBM Cloudアカウントの作成が必要です。
IBM Cloud の利用形態は以下の4種類があり、支払い方法が異なります。
ご要件によって選択いただきますが、エヌアイシー・パートナーズで販売可能な利用形態はサブスクリプションとなっております。
サブスクリプションは PAYG(Pay as You Go)などの後払いとは異なり、事前に使用権を購入し、毎月使った分だけ消費される支払い方法です。
アカウント登録方法や消費の仕組みは本ブログではご紹介しませんが、ご質問は弊社担当営業または本ページの下部記載の お問い合わせ からご連絡ください。
利用形態 | 説明 |
ライトアカウント | クレジットカード不要で期限なしで使えるアカウント ※新規申し込みは終了 |
PAYG | クレジットカードで使った分だけ後払いするアカウント |
サブスクリプション | デパート商品券のように使用権を事前購入するアカウント |
契約書 | 契約書ベースで契約し、請求書による支払いが可能なアカウント |
ユーザのアクセス管理
IBM Cloudアカウントを作成したら利用スタートです。
多くの案件はプロジェクトメンバーなど複数人でアカウント内のリソースにアクセスしたり操作を行うと思いますが、その際に利用するのが「ユーザ」です。
IBM Cloud では IBM Cloud Identity and Access Management(IAM)という仕組みを利用し、ユーザ及びリソースに対するアクセス管理を行います。
ユーザの種類
アカウントで作成できるユーザは4種類あります。
1つのアカウントに1名のアカウント所有者が割り当てられ、アカウント所有者がユーザとアクセス管理を行います。
- アカウント所有者:
アカウント内のユーザ、リソースの管理責任を負う担当者です。
- ユーザ:
IBMid により認証される個人の利用者です。
アカウント所有者に招待され、リソースに対して作業を実施できます。
- サービスID:
サービスまたはアプリケーションに付与することができる ID です。
サービスID を作成することで、IBM Cloud の外部にあるアプリケーションが IBM Cloudサービスにアクセスできるようになります。
- アクセスグループ:
複数のユーザやサービスID をまとめてグループしたものです。
グループ内のメンバー変更があった場合でも個々のユーザの設定を変更することなく管理が可能です。
リソースへのアクセス管理
管理権限を持つユーザは、ユーザ/サービスID/アクセスグループにアクセス・ポリシー*を設定してリソースへのアクセス許可を実施します。
*アクセス・ポリシー
ユーザ/サービスID/アクセスグループがどのリソースに対してどのようなアクションを実施できるかというルール。以下の2種類のアクセス・ポリシーを設定可能です。
- プラットフォーム・アクセス:
IBM Cloudプラットフォーム上でのアクション実行権限。
“管理者” “エディター” “オペレーター” “ビューワー” の4つのロールから指定します。
- サービス・アクセス:
リソースがもつ独自のツールへのアクセス(API/CLIの実行など)の実行権限。
“管理者” “ライター” “リーダー” の3つのロールから指定します。
注意したいポイント
以上、アカウント、ユーザのアクセス管理についてご紹介しました。
設定値が複数あり複雑なため、以下に注意すべきポイントをご紹介します。
アカウント間の接続、プロビジョニングの制限
既存でアカウントAをお持ちで、新規でアカウントBをご契約する場合、アカウントAとB内のリソースで通信することは可能ですが異なるアカウントにリソースをプロビジョニングすることはできません。
例)PAYGアカウント内にサブスクリプションアカウントの仮想サーバはプロビジョニング不可
アカウント所有者のメールアドレス
会社のシステムで IBM Cloud をご利⽤される場合、アカウント所有者のメールアドレスは管理用の共有メールアドレスをご登録いただくことをお勧めします。
個⼈のメールアドレスを登録した場合、退職・⼈事異動などでアカウント所有者がログインできなくなってしまう可能性があります。
アクセス・ポリシーの設定し忘れ
「【やってみた】IBM Power Virtual ServerのAIX環境とIBM Cloud Object Storageを接続してみた -Part1-」でご紹介した通り、プラットフォーム・アクセスとサービス・アクセスの両方が設定されていないと、仮想サーバのコンソールがオープンができないなど、全ての機能を利用することができません。
作業を行う前に、アクセス・ポリシーが正しく設定されているかご確認いただくことをお勧めします。
さいごに
IBM Cloud を利用する上で、アカウントとユーザのアクセス管理は重要です。
オンプレミスではアカウントという概念は無いため、ご要件にあったアカウントの選定、アカウント毎の制限事項に注意してご利用ください。
また、ユーザのアクセス管理は複雑になっていますので、オンプレミスの構築と同様にユーザ管理、アクセス・ポリシーの設計を行ってからご利用されることをお勧めします。
お問い合わせ
この記事に関するご質問は下記までご連絡ください。
エヌアイシー・パートナーズ株式会社
E-Mail:nicp_support@NIandC.co.jp