IBM Cloud Docs
ビジネス・ユニット管理アカウント

ビジネス・ユニット管理アカウント

各実動ビジネス単位 (BU) アカウント・グループには、ビジネス単位管理アカウントがあります。 このアカウントにより、BU は、開発エンタープライズおよび実動エンタープライズ全体でワークロード・アカウントおよびアプリケーションを自己管理することができます。

自己管理は、アプリケーション・カタログおよびインフラストラクチャー・カタログで提供されるデプロイ可能アーキテクチャー (コード・テンプレートとしてのインフラストラクチャー) の機能に制限されます。

BU Admin IaC の図。 すべての情報は、周囲のテキストで伝達されます。
図 1. コードとしての BU 管理アカウント・インフラストラクチャー

インフラストラクチャー・カタログ内のデプロイ可能なアーキテクチャーにより、セキュアかつ準拠した方法でアプリケーションをホストするために必要な共有インフラストラクチャーを使用して、ワークロード・アカウントを作成およびプロビジョンできます。

表 1. コンポーネント
コンポーネント 数量 説明
アプリケーション・カタログ 1 この BU でアプリケーション・プロジェクトの承認済みデプロイ可能アーキテクチャーをホストするために使用されます
インフラストラクチャー・カタログ 1 この BU で共有インフラストラクチャー・プロジェクトの承認済みデプロイ可能アーキテクチャーをホストするために使用されます
アプリケーション開発プロジェクト n Git リポジトリー、ツールチェーン、コンテナー・レジストリー、エビデンス・ロッカーなどのアプリケーション開発リソースをデプロイするためのコードとしてインフラストラクチャーを管理し、共有インフラストラクチャー内で名前空間、ネットワーク出口ルールなども要求します。 アプリケーション自体がビルドされ、これらのツールを使用して開発と実動の共有インフラストラクチャーにデプロイされます。
共有インフラストラクチャー・プロジェクト n 開発および実稼働のワークロード・アカウントと、それらのアカウント内の共有インフラストラクチャーをデプロイするためのコードとしてインフラストラクチャーを管理します。
IaC 開発プロジェクト 1 IaC アカウントをデプロイしてテストするためのコードとしてインフラストラクチャーを管理します。 これらのアカウントは、デプロイ可能なアーキテクチャーの開発およびテストに使用されます。
アプリケーション-インフラストラクチャー・セット n 概念的なグループ化-一連のアプリケーション・プロジェクトと、それらのアプリケーションをホストするためにインフラストラクチャーをデプロイするプロジェクトをグループ化します。

BU 管理サービス・ダイアグラム。 すべての情報は、周囲のテキストで伝達されます。
図 2。 BU 管理アカウント・サービス

BU 管理アカウントのコード・エレメントとしてインフラストラクチャーをサポートするのは、 Schematics ワークスペースと Schematics エージェントです。 Schematics を使用すると、企業ネットワークでホストされているプライベート Git リポジトリーに保管されているデプロイ可能なアーキテクチャーを使用できます。 このアカウントは、BU によって必要とされる場合、 VPC landing zone のリファレンス・アーキテクチャーで使用される管理 VPC およびエッジ VPC もホストします。

表 2. コンポーネント
コンポーネント 数量 説明
Schematics エージェント 1 プライベート・カタログでプライベートにホストされたカスタム Deployable アーキテクチャーを有効にするために使用されます。
Schematicsワークスペース n プロジェクトによって調整され、デプロイ可能なアーキテクチャーをデプロイするために使用され、Terraform 状態を保管します。 各プロジェクト内の構成ごとに 1 つのワークスペース。
管理/エッジ VPC 1 ビジネス単位の共有管理リソースとエッジ・リソースをホストします。 これには、パブリック・ロード・バランサー、要塞ホスト、およびカスタム管理サービスを含めることができます。

Schematics エージェントは Management/Edge VPC にデプロイできますが、エージェントにパブリック・インターネットからアクセスできないようにする必要があります。

図に示されていない追加コンポーネント:

表 3. 追加のコンポーネント
コンポーネント 数量 説明
Activity Tracker 1 アカウント内のアクティビティーの監査証跡を提供します
IBM Cloud ロギング 1 Schematics エージェントをホストするインフラストラクチャーのログ・モニターを提供します。
IBM Cloud Monitoring 1 Schematics エージェントのパフォーマンスとエラーのモニターを提供します。
Event Notifications 1 プロジェクトの通知を提供します
自動化トラステッド・プロファイル 1 このアカウントでインフラストラクチャーを管理する権限を中央管理プロジェクトに付与します
アクセス・グループおよびトラステッド・プロファイル n カタログおよびプロジェクトを使用する権限を BU オペレーターに付与するために使用される、いくつかのアクセス・グループおよびトラステッド・プロファイル

管理/エッジ VPC

Financial Services Cloud のリファレンス・アーキテクチャーは、管理機能とパブリック・インターネット・アクセス機能をアプリケーション・ホスティング機能から分離します。 IBM Cloud for Financial Services の VPC リファレンス・アーキテクチャー および パブリック・インターネット・アクセスのためのエッジ VPC またはトランジット VPC のバリエーション を参照してください。 これらの管理機能とエッジ機能は、BU 管理アカウントに集中して、コストを削減し、管理と制御を容易にします。

許可

BU アカウント・ユーザーにコードとしてインフラストラクチャーを直接デプロイする権限を与えるのではなく、ビジネス・ユニット管理アカウント内の IBM Cloud プロジェクト ・インスタンスに、リソースのデプロイと子アカウントの作成を許可します。 プロジェクトはカタログから承認されたアーキテクチャーのみをデプロイするため、ワークロード・アカウントへの変更は、カタログのオンボーディングとプロジェクト構成管理によって提供されるガバナンスの対象となります。

この許可モデルは、 Financial Services Cloud など、多くのコンプライアンス・プログラムで必要とされるゼロ・トラスト・セキュリティーのベスト・プラクティスを実装するのに役立ちます。

ワークロード・アカウント内のリソースを変更する特権をユーザーに付与しないでください。

ベスト・プラクティス として、アクセス・グループ、信頼できるプロファイル、またはその両方を通じて、アカウント内のプロジェクト、カタログ、および可観測性ツールへのアクセス権限をユーザーに付与する必要があります。 ユーザーが通常は実動に変更をデプロイするためのアクセス権限を持たないようにすることで、追加のセキュリティー・レベルを取得できます。 実動デプロイメント特権を必要とするユーザーは、実動トラステッド・プロファイル (プロジェクトを介して実動にデプロイする特権を持つ) に切り替える必要があります。これにより、実動に影響する可能性があるミスの機会が大幅に削減されます。 実動の信頼できるプロファイルは、短いセッション期間で構成し、実動デプロイメントの特権のみを使用して構成する必要があります。これにより、ユーザーがこのプロファイルを常に使用する可能性がなくなります。

その他の考慮事項

BU 管理アカウント内のプロジェクトが非実稼働成果物と実稼働成果物の両方にアクセスできることを考慮すると、試験的な変更または非実稼働成果物が誤って実稼働環境にデプロイされる可能性があります。

この問題は、アカウント、トラステッド・プロファイル、構成、およびキー・リソースが環境接頭部または接尾部で命名される命名規則を使用することによって軽減できます。 命名規則により、構成中およびプロジェクト承認フロー中に、デプロイ先として提案されているリソースを一目で確認できます。

さらに、プロジェクト内の構成に対するきめ細かいアクセス制御を使用して、一連のユーザーが実動インフラストラクチャーへの変更を承認およびデプロイできるように制限することができます。 実動デプロイメントにのみ別個の信頼できるプロファイルを使用すると、実動に対する偶発的な変更の可能性を大幅に減らすことができます。

コード管理として一元化されたインフラストラクチャーの論理的根拠

デプロイ可能なアーキテクチャーとその構成の管理を、各 BU の実動管理アカウントに一元化することにより、以下の利点が得られます。

  • BU オペレーターは、集中化された組織によって課される制約内で独自のワークロードを管理できます。

    アプリケーションおよびインフラストラクチャー・カタログにより、承認済み、テスト済み、および準拠したデプロイ可能アーキテクチャーのみが使用可能であることが保証されます。 2 つのカタログを使用すると、ユーザーが役割に応じてデプロイ可能なアーキテクチャーの正しいセットにアクセスできるように、IAM ポリシーを簡単に設定できます。 例えば、 DevOps ユーザーはインフラストラクチャーにアクセスでき、アプリケーション開発者はアプリケーション開発ツールにアクセスできます。

  • BU の一元化されたアクセス制御とモニター

    カタログとプロジェクトを一元化されたアカウントに配置すると、最小特権の原則を適用することが容易になります。 また、プロジェクトを使用すると、アプリケーションおよびインフラストラクチャーを操作する機能を持つ資格情報にユーザーがアクセスできなくなるため、悪用できなくなります。 最後に、これらの関連プロジェクトを BU アカウントに保持すると、デプロイメントのモニターが容易になり、インフラストラクチャーが最新かつ準拠していることを確認できます。

  • 開発、テスト、および実動が確実に調整されるようにします。

    非実稼働環境と実稼働環境で単一のプロジェクトを使用すると、開発環境とテスト環境を実稼働環境に合わせて調整することができます。 この単一プロジェクトにより、環境の違いに関連する障害が発生する可能性を減らすとともに、異なる環境での新しいデプロイ可能アーキテクチャー・バージョンのテストに対する制御をチームに提供します。 また、これらのリソースのライフサイクルがすべての環境で適切に管理されるようにします。 例えば、プロジェクトが不要になった場合、非実稼働環境と実稼働環境のすべてのリソースを簡単にクリーンアップできます。

  • アカウンティングと構成管理のためにすべてのプロジェクト・リソースを追跡できます。

    非実稼働環境と実稼働環境で単一のプロジェクトを使用すると、すべてのプロジェクト (またはアプリケーション) リソースが追跡され、プロジェクトに割り振られます。 プロジェクトは、リソースのタグ付けを実施し、リソースの提供や承認などを追跡します。 これにより、アカウンティングおよび構成管理のニーズが確実にカバーされます。

  • 1 つの BU につき必要な Schematics エージェントは 1 つのみです。