エンタープライズ・アカウントのサポートとしてコンフィギュレーション・アグリゲータを使用する
このチュートリアルでは、エンタープライズアカウントレベルの App Configuration インスタンスで 構成アグリゲータ 機能を構成して、エンタープライズのすべてのサブアカウントからリソースメタデータを収集する方法を示します。
開始前に
以下の前提条件を満たしていることを確認してください。
- 企業のトップレベル、つまり企業アカウントに App Configuration インスタンスを作成する。
- App Configurationサービスインスタンスに対して、IAM有効サービスおよびアカウント管理サービスへのアクセスを提供する、信頼済みプロファイルテンプレートを作成する。 信頼されたプロファイルテンプレートを作成する手順については、次のセクションを参照してください。
- エンタープライズ内の必要なアカウントおよびアカウントグループに Trusted Profile テンプレートを割り当てます。 これにより、選択したすべてのアカウントに信頼されたプロファイルが作成されます。
- App Configuration は、信頼されたプロファイル・テンプレートを読み取るためのアクセスが必要です。 すべての IAM Account Management サービスで Assignment Administrator、Enterprise サービスで Viewer のアクセス権を持つ信頼済みプロファイルを作成します。

Enterprise IAM は、Enterprise 経由で管理する Enterprise のサブアカウントで有効にする必要があります。 このオプションが有効になっていることを確認してください。または、以下のAPIを使用して変更することもできます。
curl -s -L -X PATCH "https://accounts.test.cloud.ibm.com/v1/accounts/$ACCOUNT/traits"
-H "Content-Type: application/json"
-H "Authorization: Bearer $TOKEN"
-d "{
\"enterprise_iam_managed\": true
}"
信頼済みプロファイルテンプレートがアカウントグループに適用されている場合、今後追加されるすべてのアカウントとアカウントグループも、信頼済みプロファイルテンプレートに自動的に割り当てられます。
ポリシーテンプレートを作成する
ポリシーテンプレートを作成し、信頼されたプロファイルテンプレートで使用できるようにします。 構成アグリゲーター機能については、ポリシーは All IAM enabled services
に Reader, Viewer and ConfigReader
の役割で、 All Account Management services
に Viewer and Config Reader
の役割でアクセスする必要があります。
ポリシーテンプレートは、APIまたはUIを使用して作成できます。
参照 -
https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-policy-template-create&interface=api: https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-policy-template-create&interface=api
ui:
テンプレートの「アクセス」タブに移動し、「追加」をクリックして「作成」をクリックします。 名前と説明を定義します。 アクセスを割り当てるサービスを選択し、アクセスレベルを割り当てます。

ポリシーが作成されたら、必要なポリシーをすべて選択し、追加をクリックします。
作成されたポリシーテンプレートは以下の通りです

IBM Cloud サービスインスタンスを信頼されたアイデンティティとして使用して、信頼されたプロファイルテンプレートを作成します
IBM Cloud サービスインスタンスを信頼されたアイデンティティとして使用する信頼されたプロファイルテンプレートを作成するには、API を使用する必要があります。 また、IDには必ず type: crn
。 詳細は https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-tp-template-create&interface=api#create-trusted-profile-template-api
信頼済みプロファイル・テンプレートを作成するためのペイロード:
POST https://iam.cloud.ibm.com/v1/profile_templates
{
"account_id": "c1d20fee2fe24c42b8ef6583283d2dcf",
"name": "Configuration Aggregator Template",
"description": "Trusted profile template for Config Aggregator to collect resources from services",
"profile": {
"name": "Configuration Aggregator",
"description": "Trusted Profile to collect resources via Config Aggregator",
"identities": [
{
"type": "crn",
"identifier": "crn:v1:bluemix:public:apprapp:us-south:c1d20fee2fe24c42b8ef6583283d2dcf:8abc9e31-5e7e-4154-b2d1-e963ee8a85a2::",
"description": "App Configuration Dev instance in Enterprise account"
}
]
},
"policy_template_references": [
{
"id": "policyTemplate-1362f690-8e7f-4a0a-bf72-bb8e5a0008c5",
"version": "1"
},
{
"id": "policyTemplate-2ba51f58-7b02-47ba-a707-1916d4650cbf",
"version": "1"
}
]
}
identities.identifier
は、Configuration Aggregator 用に構成されている App Configuration インスタンス CRN を指します。
policy_template_references.id
は、前のステップで作成したポリシーテンプレートの ID を指します。
テンプレートが作成されると、下書きモードで表示されます。
テンプレートを保存する
ポリシーやアイデンティティなどの詳細がすべて揃ったら、更新を行い、確認し、コミット済みとしてマークを付けることができます。


テンプレートにアカウントを割り当てる
いったんテンプレートがコミットされれば、それを課題に使用することができる。 これにはUIまたはAPIを使うことができる。 enterprise_iam_managed
が有効になっているアカウントにのみ割り当てを行うことができます。
- API: https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-tp-template-create&interface=api#assign-trusted-profile-template-api
- UI: https://cloud.ibm.com/docs/secure-enterprise?topic=secure-enterprise-tp-template-create&interface=ui#assign-trusted-profile-template-api


割り当てが完了すると、すべてのサブアカウントに信頼されたプロファイルが作成されます。 信頼されたプロファイルがエンタープライズ管理であることを示すアカウントを確認することで検証できる。

構成アグリゲータを設定する
設定API を使用して、Configurationアグリゲーターを設定します。 詳細はAPIドキュメントを参照のこと。