マイグレーションされた SoftLayer アカウント許可の管理
マイグレーションされた許可アクセス・グループを使用して、請求処理情報の管理やサポート Case の処理を行うための一連のクラシック・インフラストラクチャー (SoftLayer) 許可を管理することができます。 アクセス・グループには、同じアクセス権限を持つユーザーとサービス ID のセットが含まれます。 以前にアカウントとサポート許可が割り当てられていた、SoftLayer アカウント 内のユーザーは、マイグレーションされた対応する許可アクセス・グループに割り当てられることになります。 結果として、許可は IAM アクセス・グループを使用して直接管理できるようになります。
これらの特別なアクセス・グループには、SoftLayer アカウント許可の元の動作を保持するために、該当する IAM ポリシーがすべて組み込まれています。 例えば、ユーザーがサポート Case に関してすべてのユーザーからのすべての更新を引き続き表示できるように、チケット発行 SoftLayer アカウント許可に対応するマイグレーションされた許可アクセス・グループでは、ビューアー役割が割り当てられたユーザー管理サービスに IAM ポリシーが追加で組み込まれます。 詳しくは、サポート Case を処理するためのユーザー・アクセスの割り当てを参照してください。
クラシック・インフラストラクチャー許可をマイグレーションしたら、それらの許可の使用を中止し、さらに、それらを管理する SoftLayer CLI または API の使用を停止する必要があります。 以下の表に、IAM アクセス・グループの一部になった、マイグレーションされたクラシック・インフラストラクチャー許可を示します。 アクセス・グループは、既にユーザーに割り当てられているアクセス許可に関してのみ作成されるため、アカウント内のアクセス・グループのサブセットが次の表にリストされています。
アクセス・グループに対してユーザーを追加および削除することによって、IAM を介して直接的に、これらのマイグレーションされたクラシック・インフラストラクチャー許可をユーザーに対して引き続き管理できます。 アクセス・グループ・ポリシーは、グループ・メンバーのアクセス動作を保持するためにロックされています。 なお、アカウント管理サービスのアクセス・ポリシーの組み合わせを含む新しいアクセス・グループを作成しておくと便利です。 以下の表は、マイグレーションされた許可アクセス・グループの許可を含む IAM アクセス・ポリシーの詳細を示しています。 新しいアクセス・グループでこれらの許可を再作成したり、これらの許可と他の許可とを組み合わせたりすることができます。
| マイグレーションされた許可アクセス・グループ名 | 説明 | アカウント管理サービス | IAM 役割 |
|---|---|---|---|
| アカウント・サマリーの表示 | アカウント要約ページ、送り状、および支払いを表示する | 課金 | ビューアー |
| コンプライアンス・レポートの取得 | コンプライアンス・レポートを要求します。 | 課金 | ビューアー |
| 会社プロファイルの編集 | 会社プロファイル情報を編集する | 課金 | エディター |
| 支払明細の更新 | 繰り返し発生する毎月の支払情報を更新します。 | 課金 | エディター |
| エンド・ユーザー事例の制約事項の制限 | サポート Case データを EU に制限するための「EU サポート対象」オプションを有効または無効にする | 課金 | 適用外 |
| Case の追加および注文の表示 | サポート Case を作成し、すべての注文を表示する | サポート・センター | エディター |
| Case の編集 | 任意のサポート Case を編集する | サポート・センター | エディター |
| 事例の検索 | Case の表示許可も割り当てられている場合は、すべてのサポート Case を検索する | サポート・センター | ビューアー |
| 事例の表示 | すべてのサポート Case を表示する | サポート・センターとユーザー管理 | ビューアー、ビューアー |
「Case の表示」アクセス権限の場合、サポート・センター・サービスとユーザー管理サービスのビューアー役割を使用する個別のポリシーを 2 つ作成します。 ユーザー管理サービスのポリシーを使用すると、Case を開いたユーザーが誰かに関係なく、ユーザーがアカウント内のすべての Case を表示できるようになります。 ユーザー管理サービスのポリシーを使用せずに、アカウント所有者が、アカウント内の他のユーザーを表示するユーザーの機能を制限した場合、ユーザーによる Case の表示は、自分で開いた Case にのみ制限される可能性があります。
マイグレーションされた許可の新規 IAM アクセス・ポリシーの割り当て
それぞれのアクセス・グループで使用可能なマイグレーションされた許可を再作成するには、ポリシーを個別のユーザーに割り当てるか、アカウントに新規アクセス・グループを作成します。 新規アクセス・グループを作成する場合のメリットは、それぞれに細かいスコープのアクセス・セットを使用した一連のアクセス・グループを管理するのではなく、1 つのアクセス・グループに対して一連の許可セットを結合するように選択できる点です。 この例では、新規アクセス・グループを作成して、同等のアクセス・ポリシーを割り当てることで、アカウントの要約を表示したり、すべてのサポート Case を表示したりする方法を説明します。
これらの許可を再作成する場合に、アカウント管理サービスに新しい IAM アクセス・ポリシーを割り当てる方法を使用すると、マイグレーションされた許可アクセス・グループで利用できる単一の許可に追加して、さらに許可が組み込まれる場合があります。 例えば、あるユーザーに請求処理サービスに関するビューアーの役割を割り当てると、そのユーザーはアカウント要約の表示だけでなく、他のアクションも実行できます。 各役割に許可されているアクションの完全なリストは、アカウント管理サービスへのアクセス権限の割り当てを参照してください。
アクセス・グループを作成するには、以下のステップを実行します。
- IBM Cloud コンソールで、「管理」 > **「アクセス (IAM)」をクリックし、「アクセス・グループ」**を選択します。
- 「作成」 をクリックします。
- グループの名前と説明 (オプション) を入力して**「作成」**をクリックします。
- **「ユーザーの追加」**をクリックします。
- 追加するユーザーをリストから選択して、グループに追加をクリックします。 サービス ID をグループに追加する場合は、**「サービス ID」**タブから同じアクションを実行できます。
ユーザーとサービス ID が含まれるグループをセットアップした後で、アクセス権限をグループに割り当てます。 グループ用に設定するポリシーは、そのグループ内のすべてのメンバーに適用されることを覚えておいてください。
- アクセス」 タブをクリックします。
- 「アクセス権限の割り当て」 をクリックします。
- サービスから**「請求処理」を選択し、「次へ」**をクリックします。
- **「ビューアー」役割を選択し、「確認」**をクリックします。
- 追加 をクリックします。
- サポート Case を表示できるようにするための 2 番目のアクセス・ポリシーを割り当てるには、**「サポート・センター」**サービスを選択します。
- **「ビューアー」役割を選択し、「確認」**をクリックします。
- 追加 をクリックします。
- アカウント所有者がアカウント・ユーザーの表示可能設定に制限を設けたかどうかに関係なく、すべてのサポート Case を表示できるようにするための 3 番目のアクセス・ポリシーを割り当てるには、**「ユーザー管理」**サービスを選択します。
- **「ビューアー」役割を選択し、「確認」**をクリックします。
- 追加をクリックして、ポリシー構成をポリシー・サマリーに追加します。
- 割り当て をクリックします。
これで 3 つのポリシーがグループに割り当てられました。
- アカウント要約と、請求処理サービスのビューアー役割に関連付けられているその他のアクションすべてを表示するためのポリシー。
- アカウントのサポート Case を表示および検索するためのポリシー。
- アカウント内のすべてのユーザーと、ユーザー管理サービスのビューアー役割に関連付けられているその他のアクションすべてを表示するためのポリシー。