IBM Cloud Docs
ユーザーと許可の管理

ユーザーと許可の管理

IBM Cloud® Messages for RabbitMQ は RabbitMQ の組み込みアクセス制御を使用します。

IBM Cloudで新規デプロイメントをプロビジョンすると、 RabbitMQにアクセスして管理するための admin ユーザーが自動的に付与されます。 「 サービス資格情報 」パネルでユーザーを追加することもできます。これにより、 RabbitMQ へのアクセスが、 IBM Cloud アカウントおよび IAM(I)Cloud Databases CLI プラグイン、または Cloud Databases API と統合されます。

Messages for RabbitMQ には RabbitMQ 管理プラグインが付属しているため、ユーザー・アクセスは ユーザー・タグによっても制御されます。 これらのタグは、管理 UI、rabbitmqadmin、および RabbitMQ HTTP API を介してユーザーが使用できる情報を制御します。

admin ユーザー

すべての RabbitMQ デプロイメントには、 admin ユーザーが付属しています。 この admin ユーザーは、 RabbitMQ デプロイメントに対する完全な管理特権を持っていました。 admin ユーザーと、デプロイメントに追加する他のユーザーとの主な違いは、新しい vhost をプロビジョンし、他のすべてのユーザーの許可とアクセス権限を管理できることです。 admin は、管理 UI の 「管理」 タブに表示されるすべての設定および構成へのアクセス権限を最初に付与される唯一のユーザーです。

admin ユーザーでログインする前に、パスワードを設定します。

UI での管理者パスワードの設定

IBM Cloud ダッシュボードのリソース・リストからインスタンスを選択して、UI で管理者パスワードを設定します。 次に、 「設定」 を選択します。 次に、 *「データベース管理者パスワードの変更」*を選択します。

CLI での管理者パスワードの設定

IBM Cloud CLI Cloud Databases プラグインから cdb user-password コマンドを使用して、管理パスワードを設定します。

例えば、 example-deployment という名前のデプロイメントの管理者パスワードを設定するには、以下のコマンドを使用します。

ibmcloud cdb user-password example-deployment admin <newpassword>

API での管理者パスワードの設定

サービスの「概要」パネルの「デプロイメントの詳細」セクションに表示されるファウンデーション・エンドポイントは、API を介してこのデプロイメントにアクセスするための基本 URL を提供します。 これを 「指定されたユーザーのパスワードの設定」 エンドポイントとともに使用して、管理者パスワードを設定します。

curl -X PATCH `https://api.{region}.databases.cloud.ibm.com/v5/ibm/deployments/{id}/users/admin` \
-H `Authorization: Bearer <>` \
-H `Content-Type: application/json` \
-d `{"password":"newrootpasswordsupersecure21"}` \

サービス資格情報 ユーザー

サービス資格情報」パネルを使用した作成するユーザーには、デフォルトの仮想ホストで構成、書き込み、および読み取りを行うための全アクセス権が付与されます。

また、ユーザーが管理プラグインにアクセスし、すべての接続、チャネル、およびノード関連情報を表示できるように、自動的に「monitoring」タグが付けられます。 これらのユーザーには、「 管理者 」タブの限定されたビューと、そこにある機能が提供されます。

サービス資格情報 から作成されたユーザーに追加の特権を付与する必要がある場合は、admin ユーザーでログインし、付与することができます。

CLI を使用して作成されたユーザー

Cloud Databases CLI プラグイン を使用して作成したユーザーには、 サービス資格情報 ユーザーと同じ権限が付与されます。 それらは、デフォルトの仮想ホストに対する全許可があり、「モニター」タグでタグ付けされます。 追加の特権を付与する必要がある場合は、admin ユーザーを使用してログインしている間に、それらを付与することができます。

CLI から直接作成されたユーザーは、 _「サービス資格情報」_には表示されませんが、必要に応じて 追加 できます。

API を使用して作成されたユーザー

Cloud Databases API を使用して作成したユーザーには、 サービス資格情報 ユーザーと同じ権限が付与されます。 それらは、デフォルトの仮想ホストに対する全許可があり、「モニター」タグでタグ付けされます。 追加の特権を付与する必要がある場合は、admin ユーザーを使用してログインしている間に、それらを付与することができます。

API から直接作成されたユーザーは、 _「サービス資格情報」_には表示されませんが、必要に応じて 追加 できます。

RabbitMQ ユーザー

「サービス資格情報」 でユーザーの作成をバイパスし、 RabbitMQでユーザーを直接作成します。 RabbitMQ 管理プラグイン UI には、デプロイメントの管理者ユーザーが使用できる、ユーザーの作成と管理のためのタブがあります。

RabbitMQ で直接作成されたユーザーは、 _「サービス資格情報」_には表示されませんが、 追加 できます。 これらのユーザーは、_サービス資格情報_に追加された場合でも、IAM コントロールと統合されません。

ibm ユーザー

admin ユーザーを使用して管理 UI にログインした場合、 ibm という名前のユーザーに気付いた可能性があります。 ibm ユーザーは、複製、メトリック、およびデプロイメントの安定性を保証するその他の機能を管理するための、内部管理アカウントです。 これには、提供されている admin ユーザーと同じ許可レベルおよびタグがあります。 ibm アカウントを変更することは推奨されていません。変更すると、デプロイメントの可用性が損なわれる場合があります。