IBM Cloud Docs
のIAMアクセス管理 VMware Solutions

のIAMアクセス管理 VMware Solutions

アカウント内のユーザーの IBM Cloud® for VMware Solutions サービス・インスタンスへのアクセス権限は、IBM Cloud Identity and Access Management (IAM) によって制御されます。 アカウント内で IBM Cloud for VMware Solutions サービスにアクセスするすべてのユーザーには、IAM ユーザー役割の定義されたアクセス・ポリシーが割り当てられている必要があります。

アクセス・ポリシーは、選択したサービスまたはインスタンスのコンテキスト内でユーザーが実行できる操作を定義します。 許可される操作は、サービスに適用可能な操作として、IBM Cloud サービス別にカスタマイズされ、定義されます。 その後、操作は IAM ユーザー役割にマップされます。

ポリシーでは、さまざまなレベルのアクセス権限を付与できます。 一部のオプションには、以下のアクセス権限が含まれています。

  • アカウント内のすべてのサービス・インスタンスに対するアクセス権限
  • アカウント内の個別のサービス・インスタンスに対するアクセス権限
  • インスタンス内の特定のリソースに対するアクセス権限
  • アカウント内のすべての IAM 対応サービスに対するアクセス権限

アクセス・ポリシーの有効範囲を定義した後に、役割を割り当てることができます。

IBM Cloud for VMware Solutions サービス内で各役割で実行できる操作をまとめた以下の情報を確認してください。

VMware Solutions のプラットフォーム管理の役割と権限

プラットフォーム管理の役割を持つユーザーは、プラットフォーム・レベルでサービス・リソースに対してタスクを実行することができます。 これには、例えば、サービスに対するユーザー・アクセス権限の割り当て、サービス ID の作成または削除、インスタンスの作成、アプリケーションへのインスタンスのバインドなどがあります。

より少ない権限セットを使用するには、以下のロールを使用する:

  • ビューアーまたはオペレーターの代わりにリーダー
  • 編集者に代わるライター
  • 管理者に代わるマネージャー

プラットフォーム管理の役割 VMware Solutions

以下の表に、VMware Solutions のプラットフォーム管理役割にマップされているアクションに関する情報を示します。

プラットフォーム管理の役割と許可されたアクション VMware Solutions
プラットフォーム管理ロール アクション
リーダー サービス固有のリソースを表示するための読み取り専用アクション。
ライター サービス固有のリソースの作成と編集
マネージャー サービス固有のリソースの作成と編集に加えて、サービスによって定義された特権アクション。
ビューアー インスタンスの概要と詳細を表示するための読み取り専用アクション。
オペレーター 読み取り専用のアクション。 例えば、インスタンスの一覧表示やインスタンスの詳細表示。
エディター 特定のインスタンスを更新する。 たとえば、VMware ESXi™ サーバー、クラスタ、およびサービスを追加または削除したり、インスタンスを上位バージョンにアップグレードしたりできます。
管理者 フルマネージメントアクセス。 例えば、新規インスタンスの作成、インスタンスの削除、他のユーザーへのプラットフォーム・アクセスの付与などである。

VMware Solutions には、以下のアクションがあります。

行動の説明と必要な役割
アクション サービスに対する操作 役割
vmware-solutions.instances.create 新しいインスタンスを作成する 管理者
vmware-solutions.instances.delete インスタンスを削除する 管理者
vmware-solutions.instances.view インスタンスのリスト
インスタンスの詳細の表示
ビューアー、オペレーター、エディター、および管理者
vmware-solutions.instances.update ESXi サーバーの追加または削除
クラスターの追加または削除
サービスの追加または削除
インスタンスの上位バージョンへのアップグレード
エディターおよび管理者
vmware-solutions.account.update アカウント設定の更新 管理者

リソースアクセスの割り当て

リソースアクセスを割り当てる際に、以下のオプションから選択できます。

  • アカウント内のすべてのリソースグループに作成されたすべてのサービスリソースへのアクセス権をユーザーに付与します。
  • 特定のリソースへのアクセス]: ユーザーに特定のリソース グループまたは VMware® インスタンスへのアクセスを許可します。

ユーザーアクセス権の付与手順

  1. コンソールで、「 管理」>「アクセス(IAM) 」と進む。
  2. 左のナビゲーションパネルから 「ユーザー 」をクリックします。
  3. アクセス権限を割り当てるユーザーの行から、**「アクション」メニューを選択し、「アクセス権限の割り当て」**をクリックします。
  4. アクセス ポリシーをクリックし、VMware Solutionsサービステーブルから選択します。 「次へ」をクリックします。
  5. アクセスを受けるリソースを選択し、次へをクリックします。
    • すべてのサービスリソースへのアクセスを許可するには、すべてのリソースをクリックします。
    • 特定のリソースをクリックし、属性タイプ、演算子、値を選択します。
  6. ロールの任意の組み合わせを選択し、レビューをクリックすると、選択したすべてのロールを確認できます。
  7. オプションで、編集アイコン編集アイコン をクリックして、選択した項目を更新することもできます。
  8. Addをクリックし、 Assignをクリックする。

VMware Shared、新しいインスタンスを作成する権限をユーザーに付与するには、リソースグループのアクセスポリシーも割り当てる必要があります。 詳しくは、 リソースグループ内のリソースへのアクセス権の付与 および 仮想データセンターの注文を 参照してください。

ユーザーのアクセス権限の管理

新しいユーザーを IBM Cloud アカウントに追加して、それらのユーザーがアカウントに対してプロビジョンされているサービスやリソースを共有できるようにすることができます。 詳しくは、サービスとリソースにアクセスするようにユーザーを招待するを参照してください。

既存のユーザーのアクセス権限を管理することもできます。これには、既存のアクセス権限の変更、新しいアクセス権限の割り当て、割り当て済みのアクセス権限の検討などが含まれます。 ユーザーのアクセス権限を管理するには、アカウント所有者であるか、または**「管理者」**のプラットフォーム管理役割を持つ必要があります。 詳しくは、リソースに対するアクセス権限の管理を参照してください。

コンソールで VMware Solutions へのアクセスを割り当てる

コンソールでアクセスを割り当てるには、以下のいずれかの方法がある:

  • ユーザー別のアクセス・ポリシー。 コンソールで**「管理」>「アクセス (IAM)」>「ユーザー」**ページから、ユーザー別のアクセス・ポリシーを管理できます。 IAMアクセスを割り当てる手順の詳細については、コンソールでリソースにアクセスを割り当てる を参照してください。
  • アクセス・グループ。 アクセスグループは、アクセス権を一度だけグループに割り当てることで、アクセス管理を合理化するために使用される。 その後、必要に応じてグループからユーザーを追加または削除し、アクセスを制御することができます。 コンソールの**「管理」>「アクセス (IAM)」>「アクセス・グループ」**ページから、アクセス・グループと各グループのアクセス権限を管理します。 詳しくは、コンソールでのグループへのアクセス権限の割り当てを参照してください。

API を使用して VMware Solutions にアクセス権を割り当てる

アクセス権限の割り当て、削除、および確認のステップバイステップの手順については、API を使用したリソースへのアクセス権限の割り当てまたはポリシー API 資料の作成を参照してください。 API でアクセス権限を割り当てるには、以下の表に記載している役割のクラウド・リソース名 (CRN) を使用します。

API利用のための役割IDの値と説明
役割の名前 ロールの説明 役割の CRN
ビューアー ビューアーは、サービス・インスタンスを表示できますが、それらを変更することはできません。 crn:v1:bluemix:public:iam::::role:Viewer
管理者 管理者は、他のユーザーへのアクセス・ポリシーの割り当てを含め、この役割が割り当てられているリソースに基づいてすべてのプラットフォーム・アクションを実行できます。 crn:v1:bluemix:public:iam::::role:Administrator
オペレーター オペレーターは、サービスのダッシュボードの表示など、サービス・インスタンスを構成および操作するために必要なプラットフォーム・アクションを実行できます。 crn:v1:bluemix:public:iam::::role:Operator
エディター エディターは、アカウントの管理とアクセス・ポリシーの割り当てを除き、すべてのプラットフォーム・アクションを実行できます。 crn:v1:bluemix:public:iam::::role:Editor

次の例は、 <vmware-solutions><Viewer> ロールを割り当てるものである:

サービス名には programmatic_service_name を使用します。CRN には、役割の ID 値の表を参照して適切な値を使用してください。

curl -X POST 'https://iam.cloud.ibm.com/v1/policies' -H 'Authorization: Bearer $TOKEN' -H 'Content-Type: application/json'
-d '{
  "type": "access",
  "description": "Viewer role for vmware solutions service instance",
  "subjects": [
    {
      "attributes": [
        {
          "name": "iam_id",
          "value": "IBMid-123453user"
        }
      ]
    }'
  ],
  "roles":[
    {
      "role_id": "crn:v1:bluemix:public:iam::::role:Viewer"
    }
  ],
  "resources":[
    {
      "attributes": [
        {
          "name": "accountId",
          "value": "$ACCOUNT_ID"
        },
        {
          "name": "serviceName",
          "value": "vmware-solutions"
        }
      ]
    }
  ]
}