フロー・ログのアクセス権限の管理
IBM Cloud®へのアクセス。アカウント内のユーザーのFlow Logsサービスインスタンスへのアクセスは、IBM Cloud® Identity and Access Managementによって制御されます。 お客様のアカウントに属する、Flow Logs サービスにアクセスする各ユーザーに、IAM 役割を定義したアクセス・ポリシーを割り当てる必要があります。 ポリシーは、選択したサービスまたはインスタンスのコンテキスト内でユーザーが実行できるアクションを決定します。 許可されるアクションはカスタマイズされ、IBM Cloudサービス上で実行が許可されるオペレーションとして定義されます。 その後、操作は IAM ユーザー役割にマップされます。
ポリシーでは、さまざまなレベルのアクセス権限を付与できます。 次のようなオプションがあります。
- アカウント内のすべてのサービス・インスタンスに対するアクセス権限
- アカウント内の個別のサービス・インスタンスに対するアクセス権限
アクセス・ポリシーの有効範囲を定義したら、ユーザーのアクセス権限のレベルを決定する役割を割り当てます。 各ロールがFlow Logsサービス内で許可するアクションの概要を以下の表で確認してください。
下記の表は、プラットフォーム管理役割にマップされたアクションの詳細を示しています。 プラットフォーム管理ロールは、ユーザーがプラットフォーム・レベルでサービス・リソースのタスクを完了できるようにします。たとえば、サービスのユーザー・アクセスを割り当てたり、インスタンスを作成または削除したりできます。
IAM の役割について詳しくは、IAM の概要を参照してください。
| プラットフォーム管理ロール | アクションの説明 |
|---|---|
| 管理者 | フロー・ログ・コレクターの読み取り、操作、更新、作成、削除、およびリスト |
| エディター | フロー・ログ・コレクターの読み取り、操作、更新、作成、削除、およびリスト |
| オペレーター | フロー・ログ・コレクターの操作とリスト |
| ビューアー | フロー・ログ・コレクターの読み取り |
コンソールでのユーザー役割の割り当てについて詳しくは、リソースに対するアクセス権限の管理を参照してください。
ご使用のフロー・ログ・コレクターの範囲によって決定されるとおり、必要なオペレーター役割は 1 つのみです。
また、IBM Cloud Flow Logs に固有ではない以下のアクションと操作も必要になります。
| 役割 | アクションの説明 |
|---|---|
| Object Storage バケットのライター | フロー・ログ・コレクターの作成 |
| サブネットに対するオペレーター | サブネット・スコープが設定されたフロー・ログ・コレクターの作成 |
| VPC に対するオペレーター | VPC スコープが設定されたフロー・ログ・コレクターの作成 |
| 仮想サーバー・インスタンスに対するオペレーター | インスタンス・スコープまたはインターフェース・スコープが設定されたフロー・ログ・コレクターの作成 |
以下の表にあるオペレーターの役割は、ターゲット・スコープを変更する場合にのみ必要です。
| 役割 | 必要になるタイミング |
|---|---|
| Object Storage バケットのライター | ( Object Storage バケットの変更) |
| サブネットに対するオペレーター | (サブネット・スコープへの変更時) |
| VPC に対するオペレーター | (VPC スコープへの変更時) |
| 仮想サーバー・インスタンスに対するオペレーター | (インスタンス・スコープまたはインターフェース・スコープへの変更時) |
各アグリゲータはObject Storageに別々のデータストリームを作成する。 複数のインターフェイスIDからキャプチャされたデータを1つのObject Storageバケットに関連付けるフローログコレクタを作成できるので、各バケットはデータを保持するためのフォルダ構造が必要です。