2.8. ユーザーアクセスのための粒度の細かいパーミッション
粒度の細かいパーミッションにより、組織管理者は 1 つ以上のアプリケーションのロールパーミッションを定義できます。事前定義されたロールの多くはワイルドカードパーミッションを提供します。これは、すべてのアクションへのフルアクセスを持つスーパーユーザーロールと同等です。
粒度の細かいパーミッションを定義することで、パーミッションが制限されたロール (読み取り専用または読み取り/更新など) を作成 (または変更) できますが、削除することができません。
たとえば、コスト管理者とコスト価格リストビューアーの事前定義されたロールを比較します。
ロール | アプリケーション | リソース | 操作 |
---|---|---|---|
Cost Administrator | cost-management | * (すべて) | * (すべて) |
Cost Price List Viewer | cost-management | cost_model | 読み込み |
新規ロールを作成すると、そのロールに固有のアプリケーション、リソース、および操作を定義できます。
2.8.1. カスタムユーザーアクセスロールの追加
ユーザーアクセスは、グループに追加できる事前定義済みのロールを多数提供します。事前定義されたロールを使用するほか、1 つ以上のアプリケーションに対する粒度の細かいパーミッションでユーザーアクセスロールを作成および管理できます。
Red Hat が提供する事前定義されたロールのリストは、事前定義されたユーザーアクセスロール セクションを参照してください。
Default access グループには、事前定義されたすべてのロールのサブセットが含まれます。詳細は、事前定義されたユーザーアクセスロール セクションを参照してください。
事前定義されたロールを変更することはできません。
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
手順
ガイド付きウィザードにより、ロールの追加手順が実施されます。
以下の手順では、Create role ウィザードを使用する方法を説明します。
- Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles に移動します。Roles ウインドウが表示されます。
- Create role ボタンをクリックします。これにより、Create role ウィザードが起動します。
ウィザードのこの時点で、ゼロからロールを作成するか、既存のロールをコピーすることができます。
2.8.2. ゼロからのロールの作成
特定の粒度の細かいパーミッションを持つロールを作成する場合は、ゼロからロールを作成します。たとえば、組織に単一のロールを作成して、すべての利用可能なアプリケーションのリソースに対して読み取り専用のパーミッションを提供することができます。デフォルトのアクセスグループにこのロールを追加および管理することで、デフォルトのアクセス権限を読み取り専用に変更することができます。
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- Create role ウィザードを起動している。
手順
- Create role ウィザードで Create a role from scratch ボタンをクリックします。
- 必須の Role name を入力します。
- 任意で、Role description を入力します。
- Next ボタンをクリックします。ロール名がすでに存在する場合は、続行する前に別の名前を指定する必要があります。
- Add permissions ウィンドウで、ロールに追加するアプリケーションパーミッションを選択します。デフォルトでは、パーミッションはアプリケーションごとにリスト表示されます。
オプションでフィルタードロップダウンを使用して、Applications、Resources、または Operations でフィルターを行います。
ヒントウィザードページの上部にあるリストを使用して、ロールに追加したすべてのパーミッションを表示します。パーミッションをクリックして削除することができます。
- Next ボタンをクリックして詳細を確認します。Submit ボタンをクリックし、ロールの送信、Back ボタンを押して変更を行い、Cancel ボタンを押してアクションを取り消します。
作成したロールを User Access グループに追加するのに利用できます。
2.8.3. 既存ロールのコピー
そのロールに、使用するパーミッションの多くがすでに含まれており、一部のパーミッションを変更、追加、または削除する必要がある場合には、既存のロールをコピーします。
既存のロールは、Red Hat が提供する事前定義済みロールの 1 つであることも、以前に作成したカスタムロールにすることができます。
Red Hat が提供する事前定義されたロールのリストは、事前定義されたユーザーアクセスロール セクションを参照してください。
事前定義されたロールを変更することはできません。
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- Create role ウィザードを起動している。
手順
- Create role ウィザードで Copy an existing role ボタンをクリックします。
- コピーするロールの横にあるボタンをクリックします。
- Next ボタンをクリックします。
- Name and description ウィンドウには、Role name のコピーと、記入されている既存の Role description が表示されます。必要に応じて変更します。
- Next ボタンをクリックします。ロール名がすでに存在する場合は、続行する前に別の名前を指定する必要があります。
Add permissions ウィンドウで、ロールに追加するアプリケーションパーミッションを選択します。デフォルトでは、パーミッションはアプリケーションごとにリスト表示されます。
ヒントカスタムロールは、粒度の細かいパーミッションのみをサポートします。
approval:*:*
などのワイルドカードパーミッションはカスタムロールにコピーされません。オプションでフィルタードロップダウンを使用して、Applications、Resources、または Operations でフィルターを行います。
ヒントウィザードページの上部にあるリストを使用して、ロールに追加したすべてのパーミッションを表示します。パーミッションをクリックして削除することができます。
- Next ボタンをクリックして詳細を確認します。Submit ボタンをクリックし、ロールの送信、Back ボタンを押して変更を行い、Cancel ボタンを押してアクションを取り消します。
作成したロールを User Access グループに追加するのに利用できます。
2.8.4. アプリケーション固有のロールの作成
Create role ウィザードによって提供されるフィルターを使用して、特定のアプリケーションのロールを作成します。特定のアプリケーションのロールを作成すると、フィルターには選択したアプリケーションで許可される Resource type および Operation が表示されます。
複数のアプリケーションを含むアプリケーション固有のロールを作成できます。
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- Create role ウィザードを起動している。
- ウィザードの Add permissions ステップを使用している。
手順
- Add permissions ウィンドウで、Filter by application フィールドをクリックします。
- アプリケーション名の最初の数文字を入力してアプリケーションを選択します。ウィザードには、そのアプリケーションの一致するパーミッションが表示されます。
- 必要に応じて、ナビゲーションツールを使用して、利用可能なアプリケーションおよびパーミッションのリストをスクロールします。
- アプリケーション固有のロールで、必要なパーミッションの横にあるチェックボックスをクリックします。
- Next ボタンをクリックして詳細を確認します。Submit ボタンをクリックし、ロールの送信、Back ボタンを押して変更を行い、Cancel ボタンを押してアクションを取り消します。
2.8.5. コスト管理アプリケーションロールの作成
コスト管理アプリケーションに固有のロールを作成できます。コスト管理ロールを作成する場合は、そのロールのコスト管理リソース定義を定義します。他のアプリケーションロールでは、その選択肢が提供されません。
前提条件
- Cost management Operator がインストールされ、設定されている。
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- Cost Management 用に少なくとも 1 つのクラウド統合が設定されている。
- Create role ウィザードを起動している。
手順
この手順では、コスト管理のパーミッションでゼロからロールを作成する方法を説明します。
- Create role ウィンドウでラジオボタンをクリックし、Create a role from scratch をクリックします。
- Role name (必須) および Role description (任意) を入力します。
- Next ボタンをクリックして Add permissions ウィンドウを表示します。
-
Filter by application フィールドに
cost
を入力してコスト管理アプリケーションを表示し、cost-management チェックボックスをクリックします。 - Add permissions ウィンドウが表示されたら、このロールに含めるコスト管理パーミッションごとにチェックボックスをクリックします。
- Next ボタンをクリックして、Define Cost Management resources ウィンドウを表示します。
- ロールに追加したアプリケーションパーミッションごとに、利用可能な Resource definitions のドロップダウンリストが表示されます。各コスト管理パーミッションで、1 つ以上のリソースのチェックボックスをクリックする必要があります。
- Next ボタンをクリックして詳細を確認します。Submit ボタンをクリックし、ロールの送信、Back ボタンを押して変更を行い、Cancel ボタンを押してアクションを取り消します。
2.8.5.1. ロールをゼロから作成するためのコスト管理の例
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- Cost Management 用に少なくとも 1 つのクラウド統合が設定されている。
- Create role ウィザードを起動している。
手順
- Create role ウィザードを起動し、Create a role from scratch をクリックします。
-
Role name の
AWS Org Unit Cost Viewer
を入力してから、Submit ボタンをクリックします。説明は必要ありません。 -
Filter by application フィールドに
cost
を入力してコスト管理アプリケーションを表示し、cost-management チェックボックスをクリックします。 -
aws.organizational_unit
が含まれる行のチェックボックスをクリックし、Next ボタンをクリックしてパーミッションで利用可能な Resource definitions のドロップダウンリストを表示します。 - Resource definitions リストに表示されているリソースのチェックボックスをクリックし、Next ボタンをクリックして詳細を確認します。
- Permissions と Resource definitions を表示するこのロールの詳細を確認した後に、Submit ボタンをクリックしてロールを送信します。
2.8.6. カスタムロール名の編集
カスタムロールの名前は、メインのロールページまたは Permissions ページから変更できます。
前提条件
- * 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- カスタムロールが 1 つ以上存在している。
手順
-
Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles に移動します。Roles ウインドウが表示されます。Roles ウィンドウには、カスタムロールの名前の右側に
(more options) があります。
-
(more options) をクリックします。
- Edit をクリックしてロール名または説明を変更します。
Delete をクリックしてカスタムロールを削除します。
ヒントロール名をクリックして、Permissions ウィンドウを開き、ロール名の右側にある
(more options) をクリックして、Edit および Delete アクションにアクセスすることもできます。
- 確認ウィンドウが表示されます。このアクションを元に戻すことができないことが確認されると、カスタムロールが削除されます。
2.8.7. カスタムロールからのパーミッションの削除
カスタムロールからパーミッションを削除できます。
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- カスタムロールが 1 つ以上存在している。
手順
-
Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Roles に移動します。Roles ウインドウが表示されます。Roles ウィンドウには、カスタムロールの名前の右側に
(more options) があります。
- カスタムロール名をクリックして、Permissions ウィンドウを開きます。
-
Permissions リストでアプリケーション権限名の右側にある
(more options) をクリックし、Remove をクリックします。
- 確認ウィンドウが表示されます。Remove permission をクリックします。
2.8.8. デフォルトアクセスグループの復元
Default access グループは、Red Hat サービスが提供する状態に復元できます。これを実行すると、Custom default access グループは、そのグループに加えられた変更と共に削除されます。
Default access グループを復元する場合には、Custom default access グループを復元する方法はありません。
Default access グループを復元する理由:
- 意図されていない Default access グループに変更を加えた場合
- Default access グループ を作り直す場合
- Custom default access グループを削除する場合。
- Red Hat サービスによってプッシュされた Default access グループへの変更を取得して、Custom default access グループを破棄する場合。
Default access グループまたは Custom default access グループのいずれかである default グループの 1 つがシステム上に常に存在します。
前提条件
- 組織管理者権限を持つユーザーとして Red Hat Hybrid Cloud Console にログインしている。
- 組織管理者でない場合は、User Access administrator のロールが割り当てられているグループのメンバーである。
- Custom default access グループが存在する。
手順
- Red Hat Hybrid Cloud Console > Settings > Identity & Access Management > User Access > Groups に移動します。Groups ページが表示されます。
- Groups ページで Custom default access をクリックします。
-
Restore to default をクリックし、警告メッセージを受け入れます。
Default access は Groups ページに表示されます。