IBM Cloud Docs
ユーザーの削除

ユーザーの削除

特定のアクセス許可がユーザーに不要になった場合や、ユーザーが退職した場合は、IBM Cloud アカウント所有者がそのユーザーの許可を削除できます。

ユーザーの認証情報がインフラストラクチャの権限に使用されているかどうかを確認する

ユーザーの特定のアクセス許可を削除したり、アカウントからユーザーを完全に削除したりする前に、API キーの設定や ibmcloud oc credential set コマンドでそのユーザーのインフラストラクチャー資格情報が使用されていないことを確認してください。 そうしないと、アカウント内の他のユーザーが IBM Cloud インフラストラクチャー・ポータルにアクセスできなくなり、インフラストラクチャー関連のコマンドが失敗する可能性があります。

このような問題が将来起きることを防ぐために、API キーの所有者として個人ユーザーではなく機能 ID ユーザーを使用することを検討してください。 特定の個人がチームを離れても、機能 ID ユーザーが API キーの所有者のままです。

  1. CLI コンテキストのターゲットを、クラスターが存在するリージョンとリソース・グループに設定します。
    ibmcloud target -g <resource_group_name> -r <region>
  2. そのリージョンとリソース・グループに設定されている API キーまたはインフラストラクチャー資格情報の所有者を確認します。
    ibmcloud oc api-key info --cluster <cluster_name_or_id>

    ibmcloud oc credential get --region <region>
  3. API キー: 対象ユーザーのユーザー名が返された場合は、別のユーザーの資格情報を使用して API キーを設定します。
    1. インフラストラクチャーの API キーの資格情報の設定に使用するために、IBM Cloud アカウントに、個人ユーザーではなく機能 ID ユーザーを招待します。 個人がチームを離れても、機能 ID ユーザーが API キーの所有者のままです。
    2. API キーを設定する機能 ID ユーザーに適切な権限があることを確認します。
    3. 機能 ID としてログインします。
      ibmcloud login
    4. インフラストラクチャー資格情報を機能 ID ユーザーに変更します。
      ibmcloud oc api-key reset --region <region>
    5. 新しい API キー構成を反映させるためにリージョン内のクラスターを更新します。
      ibmcloud oc cluster master refresh -c <cluster_name_or_ID>
  4. インフラストラクチャー・アカウント: 対象ユーザーのユーザー名がインフラストラクチャー・アカウントの所有者として返された場合は、ユーザーを削除する前に、既存のクラスターを別のインフラストラクチャー・アカウントにマイグレーションします。 ユーザーが作成したクラスターごとに、以下の手順に従います。
    1. ユーザーがクラスターをプロビジョンするためにどのインフラストラクチャー・アカウントが使用したかを確認します。
      1. **「ワーカー・ノード」**タブでワーカー・ノードを選択し、その ID を書き留めます。
      2. メニュー「メニュー」アイコンを開き、**「クラシック・インフラストラクチャー (Classic Infrastructure)」**をクリックします。
      3. インフラストラクチャーのナビゲーション・ペインから**「デバイス」>「デバイス・リスト」**をクリックします。
      4. 先ほど書き留めたワーカー・ノードの ID を検索します。
      5. ワーカー・ノード ID が見つからない場合、ワーカー・ノードはこのインフラストラクチャー・アカウントにプロビジョンされません。 別のインフラストラクチャー・アカウントに切り替えて、もう一度やり直します。
    2. ユーザーがクラスターのプロビジョンに使用したインフラストラクチャー・アカウントが、ユーザーの退職後にどうなるかを調べます。
      • ユーザーがインフラストラクチャー・アカウントを所有していない場合は、他のユーザーはこのインフラストラクチャー・アカウントにアクセスできます。ユーザーが退職した後も変わりません。 アカウント内のこれらのクラスターを引き続き操作できます。 1 人以上の他のユーザーに、クラスターに対する管理者のプラットフォーム・アクセス役割があることを確認します。
      • ユーザーがインフラストラクチャー・アカウントを所有している場合は、ユーザーが退職するとインフラストラクチャー・アカウントが削除されます。 このようなクラスターは操作し続けることができません。 クラスターが孤立しないようにするには、ユーザー自身が退職する前にクラスターを削除する必要があります。 ユーザーが退室してもクラスターが削除されていない場合は、 ibmcloud oc credential set コマンドを使用して、クラスターのワーカーノードがプロビジョニングされているアカウントにインフラストラクチャの認証情報を変更し、クラスターを削除する必要があります。 詳しくは、孤立クラスターのインフラストラクチャーを変更または削除できないを参照してください。
  5. クラスターが存在するリソース・グループとリージョンの組み合わせごとに、これらの手順を繰り返します。

IBM Cloud IAMプラットフォームの権限と関連する事前定義のRBAC権限を削除する

  1. IBM Cloud コンソールにログインします。 メニュー・バーから、**「管理」 > 「アクセス (IAM)」**を選択します。
  2. **「ユーザー」**ページをクリックし、許可を削除するユーザーの名前をクリックします。
  3. ユーザーのテーブル・エントリーで**「アクション」メニュー** アクション・メニュー・アイコン **> 「ユーザーの削除」**をクリックします。
  4. IBM Cloud IAM プラットフォーム許可が削除されると、関連付けられている事前定義 RBAC 役割からもユーザーの許可が自動的に削除されます。 これらの変更を適用して RBAC 役割を更新するには、ibmcloud oc cluster config を実行します。

ユーザーのロールバインドのみが削除されることに注意してください。 クラスタからユーザーとアイデンティティを削除するには、追加の手順が必要です。 しかし、ロールバインドがないと、ユーザーとアイデンティティはクラスタ内でアクションを実行する権限がありません。

  1. クラスタ内のユーザーをリストアップします。

    oc get users

    出力例

    NAME                     UID                                    FULL NAME   IDENTITIES
IAM#user@us.ibm.com   1a11a11a-1aa1-111a-1aa1-aaa11aa1a111               IAM:IBMid-1100011AAA

  2. 前のステップで見つけた値を使用して、ユーザーとアイデンティティを削除します。

    oc delete identity IDENTITY
oc delete user NAME

    コマンド例:

    oc delete identity IAM:IBMid-1100011AAA
oc delete user IAM#user@us.ibm.com

  3. オプションカスタムのRBACロールまたはクラスタロールを作成した場合は、 .yaml ファイルから、それらのRBACロールバインドまたはクラスタロールバインドのユーザーを削除する必要があります。 カスタムRBAC権限の削除 手順については、次のセクションを参照してください。

カスタム RBAC 許可の削除

カスタム RBAC 許可は、これ以上必要なければ、削除してかまいません。

  1. 作成した役割バインディングまたはクラスター役割バインディングに関する .yaml ファイルを開きます。
  2. subjects セクションで、該当ユーザーのセクションを削除します。
  3. ファイルを保存します。
  4. クラスターの役割バインディングまたはクラスター役割バインディングのリソースの変更を適用します。
    oc apply -f my_role_binding.yaml