当サイトのクッキーについて IBM のWeb サイトは正常に機能するためにいくつかの Cookie を必要とします(必須)。 このほか、サイト使用状況の分析、ユーザー・エクスペリエンスの向上、広告宣伝のために、お客様の同意を得て、その他の Cookie を使用することがあります。 詳細については、オプションをご確認ください。 IBMのWebサイトにアクセスすることにより、IBMのプライバシー・ステートメントに記載されているように情報を処理することに同意するものとします。 円滑なナビゲーションのため、お客様の Cookie 設定は、 ここに記載されている IBM Web ドメイン間で共有されます。
サービスとしての VCF に対する IAM アクセスの管理
アカウント内の各ユーザーの IBM Cloud® for VMware Cloud Foundation as a Service インスタンスに対するアクセス権限は、IBM Cloud Identity and Access Management (IAM) によって制御されます。 あなたのアカウントで VMware Cloud Foundation (VCF) as a Service にアクセスするすべてのユーザーに、IAM ロールを持つアクセス・ポリシーを割り当てる必要があります。 サービスとしての VCF にアクセス権を割り当てる最適な方法を決定するために、以下の役割、アクションなどを確認してください。
アカウントでユーザーに割り当てるアクセス・ポリシーは、選択したサービスまたは特定のインスタンスのコンテキスト内でユーザーが実行できるアクションを決定します。 許可されるアクションはカスタマイズされ、 サービスとしての VCF、サービス上で許可される操作として定義される。 各アクションは、IAM プラットフォーム、またはユーザーに割り当てることのできるサービス役割にマップされます。
特定のロールとそのアクションが、アドレスを探すユースケースに適合しない場合は、カスタム・ロールを作成して、含めるアクションを選択できます。
IAM アクセス・ポリシーによって、さまざまなレベルでアクセス権限を付与できます。 一部のオプションには、以下のアクセス権限が含まれています。
- アカウント内のすべてのサービス・インスタンスに対するアクセス権限
- アカウント内の個別のサービス・インスタンスに対するアクセス権限
- インスタンス内の特定のリソースに対するアクセス権限
サービスとしての VCF を使って作業しているときに、それぞれのロールがどのような種類のタスクを許可するのか、以下の表で概説しているので、確認してください。 プラットフォーム管理の役割を持つユーザーは、プラットフォーム・レベルでサービス・リソースに対してタスクを実行することができます。 たとえば、サービスへのユーザー・アクセスの割り当て、インスタンスの作成、削除、スケーリング、インスタンスとアプリケーションのバインドなどである。 サービス・アクセス役割により、ユーザーは サービスとしての VCFにアクセスできます。 各ロールにマッピングされる正確なアクションの詳細については、 IAMロールとアクションを 参照してください。
| プラットフォーム役割 | アクションの説明 |
|---|---|
| ビューアー | ブロードコムのインスタンス、クラスタ、ホスト、ストレージ、サービス、仮想データセンター、ダッシュボードによる VMware® を表示します。 |
| オペレーター | VMware by Broadcom インスタンスの表示または更新、ホスト、ストレージ、クラスタの追加と削除、 VMware by Broadcom サービスのインストール。 |
| エディター | すべての Operator 権限に加えて、 VMware by Broadcom インスタンスを作成および削除します。 |
| 管理者 | すべての Operator 権限に加えて、 VMware by Broadcom インスタンスの管理者認証情報をリセットします。 |
| サービス役割 | アクションの説明 |
|---|---|
| リーダー | Broadcom、Usage Meterインスタンス、仮想データセンター、ダッシュボードによる VMware。 |
| ライター | VMware by BroadcomとUsage Meterインスタンスを表示し、仮想データセンターへのサービスの追加と削除も行えます。 |
| マネージャー | すべてのライター権限に加え、仮想データセンターの作成と削除、 VMware by Broadcom インスタンスの管理者認証情報のリセットが可能です。 |
| VCFaaS ディレクター・フルビューアー | VMware Cloud Director™のすべてのコンポーネントにアクセスできます。 |
| VCFaaS 監督 著者 vApp | カタログを使用して、 VMware Cloud Director で vApps を作成します。 |
| VCFaaS 監督 ユーザー vApp | VMware Cloud Director 内の既存の vApps を使用します。 |
| VCFaaS カタログ執筆者 | VMware Cloud Director でカタログを作成して公開します。 |
| VCFaaS ネットワーク管理部長 | VMware Cloud Director でのサブネット、静的ルートの作成、表示、編集、削除、およびルーティングのトラブルシューティングを行います。 |
| VCFaaS ディレクターコンソールユーザー | VMware Cloud Director で仮想マシンの状態とプロパティーを表示し、ゲスト・オペレーティング・システムを使用します。 |
| VCFaaS バックアップユーザー | VMware Cloud Director で Veeam ® バックアップ・ジョブを管理します。 |
| VCFaaS セキュリティ管理部長 | VMware Cloud Director でエッジ・ファイアウォールと分散ファイアウォールを表示および編集します。 |
リソース・グループに関する考慮事項
アクセス制御については、IAMポリシーはCloud Directorサイトに対してテストされ、VDCに対してはテストされません。
サービスとしての VCF VDCを異なるリソースグループに配置することはできますが、リソースグループの区別は課金目的でのみ有効です。
単一テナントのVDCの場合は、Cloud Directorサイトのリソースグループを選択します。
マルチテナントのVDCの場合、お客様のCloud Directorサイトは、どのリージョンでも最初のVDCと同じリソースグループに配置されます。
IBM Cloud はVDCリソースグループではなく、クラウドディレクターサイトのリソースグループに対してチェックを行うため、VDCを作成する権限を持つユーザーは、任意のリソースグループにVDCを作成することができます。
IAM アクセスにリソースグループを使用する場合、Cloud Director サイトと Cloud Director サイト内のすべての VDC を同じリソースグループに含めます。
コンソールで サービスとしての VCF にアクセス権を割り当てる
コンソールでアクセスを割り当てるには、以下のいずれかの方法がある:
- ユーザー別のアクセス・ポリシー。 コンソールで**「管理」>「アクセス (IAM)」>「ユーザー」**ページから、ユーザー別のアクセス・ポリシーを管理できます。 IAM アクセス権限を割り当てる手順の詳細については、リソースに対するアクセス権限の管理を参照してください。
- アクセス・グループ。 アクセス・グループは、アクセス権限をグループに一度割り当てることによってアクセス管理を簡素化するために使用されます。 その後、必要に応じてグループからユーザーを追加または削除して、ユーザーのアクセス権限を制御することができます。 コンソールの**「管理」>「アクセス (IAM)」>「アクセス・グループ」**ページから、アクセス・グループと各グループのアクセス権限を管理します。 詳しくは、コンソールでのグループへのアクセス権限の割り当てを参照してください。