組織構造が複雑で、多数のクラウドコンピューターを抱える企業にとって、メイン管理者を補佐するサブ管理者を作成して管理タスクを分担することは非常に重要です。しかし、情報セキュリティのベストプラクティスである最小権限の原則に従うと、各サブ管理者にすべての機能とデータに対する完全な権限を単純に付与することは安全ではありません。このトピックでは、Elastic Desktop Service (EDS) の権限管理モジュールを使用して、サブ管理者間で機能とデータの権限を隔離する方法について説明します。
利用シーン
EDS コンソールへのログインに使用する Alibaba Cloud アカウントは、EDS の機能とリソースに対するすべての権限を持っています。貴社の組織構造が複雑で、複数の部門があり、多数の従業員とクラウドコンピューターが存在する場合、1 人の管理者ではすべてのタスクを管理するのに不十分です。さらに、管理者が 1 人だけでは、ビジネス上の権限の隔離要件を満たすことができません。このようなシナリオでは、メイン管理者は 1 人または複数のサブ管理者を必要とし、タスクの管理を補佐してもらいます。この状況では、以下の要件を満たす必要があります:
サブ管理者ごとに権限レベルが異なる。たとえば、サブ管理者 A はユーザーの作成と管理はできますが、クラウドコンピューターの作成と管理はできません。一方、サブ管理者 B はデータの表示のみ可能で、他の操作は一切できません。
特定の権限に対して、異なるデータへのアクセスが制限される。たとえば、サブ管理者 C は研究開発部門のクラウドコンピューターのみを表示および管理する権限を持ち、サブ管理者 D は設計部門のクラウドコンピューターのみを表示および管理する権限を持ちます。
ソリューション
EDS が提供する権限管理モジュールは、前述の要件を満たすことができます。
権限管理モジュールは、以下のディメンションで権限の隔離を実施します:
従業員ディメンション:サブ管理者を作成でき、その機能に対する権限はロールによって決定され、データに対する権限は管理するリソースグループによって決定されます。
機能ディメンション:デフォルトのロールが利用可能であり、カスタムロールも作成できます。ロールとは、ユーザーがアクセスできる機能モジュールと実行できる操作を定義する権限のセットであり、機能権限の制御を実現します。EDS は以下のデフォルトロールを提供します:
スーパー管理者:すべてのクラウドリソースと機能にアクセスし、管理するための完全な権限を持つロール。スーパー管理者のみが他の管理者ロールを作成および管理できます。
システム管理者:クラウドリソースの管理、リソースへのアクセスの権限付与、システムステータスの監視、および O&M タスクの実行権限を持つロール。システム管理者はユーザーを作成または管理することはできません。
セキュリティ監査管理者:データを表示する権限を持つロール。セキュリティ監査管理者は機能モジュールにアクセスできません。
セキュリティ管理者:ユーザーの作成と管理、およびセキュリティ情報処理のステータスを監視する権限を持つロール。セキュリティ管理者はクラウドリソースを管理できません。
データディメンション:リソースグループが権限を隔離する方法としてサポートされています。リソースグループはクラウドコンピューターリソースのコンテナーであり、権限の隔離を実現します。
以下の表に、前述の要件例を満たすためのソリューションを示します。
要件 | ソリューション |
|
|
|
|
ロールの作成
デフォルトのロールを使用するだけでなく、ビジネスニーズに合わせたカスタムロールを作成することもできます。その後、カスタムロールをサブ管理者にアタッチして、機能権限の隔離を実現できます。
左側のナビゲーションウィンドウで、 を選択します。管理者権限 ページで、ロール タブをクリックします。
ロール タブで ロールの作成 をクリックし、以下のパラメーターを設定してから OK をクリックします。
名前:ロールの名前を入力します。
親ロール:作成するロールの親ロールとしてデフォルトロールを選択します。
親ロールを選択すると、権限の設定 セクションに親ロールのすべての権限が読み込まれ、ロールの権限付与を簡単に行うことができます。
説明:他のロールと区別しやすくするために、ロールの説明を入力します。このパラメーターはオプションです。
次のステップ
新しく作成されたロールは、ロール タブに表示されます。
カスタムロールを変更する場合は、ロール タブで対象のロールを見つけ、操作 列の 編集 をクリックします。
カスタムロールを削除する場合は、ロール タブで対象のロールを見つけ、操作 列の 削除 をクリックします。
リソースグループの作成
リソースグループを作成し、クラウドコンピューターをリソースグループに追加して管理できます。その後、異なるリソースグループの権限を異なるサブ管理者に付与することで、データ権限の隔離を実現できます。
左側のナビゲーションウィンドウで、 を選択します。
リソースグループ ページで、リソースグループの作成 をクリックし、作成したいリソースグループの名前を入力します。
説明名前は 1~30 文字である必要があります。先頭は英字にする必要がありますが、
http://またはhttps://で始めることはできません。英字、数字、コロン (:)、アンダースコア (_)、ピリオド (.)、ハイフン (-) を使用できます。リソースの設定と権限付与 メッセージで、今すぐ移動 をクリックします。
リソースの管理 タブで、転送 をクリックします。転送 パネルで、グループに追加したいクラウドコンピューターを選択し、確認 をクリックします。
次のステップ
新しく作成されたリソースグループは、リソースグループ ページに表示されます。
サブ管理者に対してリソースグループの権限を付与または取り消す場合は、リソースグループ ページで対象のリソースグループを見つけ、操作 列の 権限の管理 をクリックします。権限の管理 タブで、管理者の権限付与 をクリックして、ビジネス要件に基づいて権限を付与または取り消します。
説明存在しないサブ管理者にリソースグループの権限を付与したい場合は、管理者リストの下部にある 管理者の作成 をクリックします。
リソースグループにリソースを追加または削除する場合は、リソースグループ ページで対象のリソースグループを見つけ、操作 列の リソースの管理 をクリックします。
説明リソースの管理 タブで、ユーザー列の アイコンをクリックし、リソースが割り当てられていないユーザー を選択して OK をクリックします。アイドル状態のリソースがフィルターされます。
リソースグループの名前を変更する場合は、リソースグループ ページで対象のリソースグループを見つけ、操作 列の 編集 をクリックします。
リソースグループを削除する場合は、リソースグループ ページで対象のリソースグループを見つけ、操作 列の 削除 をクリックします。
サブ管理者の作成と権限付与の範囲の設定
サブ管理者を作成する際に、ロールをアタッチすることで機能権限の隔離を、リソースグループまたはリソースタイプの権限を付与することでデータ権限の隔離を実現できます。
左側のナビゲーションウィンドウで、 を選択します。
管理者権限 ページで、管理者の作成 をクリックし、以下のパラメーターを設定してから OK をクリックします。
RAM ユーザーとの関連付け:サブ管理者が EDS コンソールにログインして管理タスクを完了するために使用する Resource Access Management (RAM) ユーザー。以下のいずれかの方法で RAM ユーザーをサブ管理者に関連付けます:
現在の Alibaba Cloud アカウントに存在する RAM ユーザーを選択する:既存の RAM ユーザー をクリックし、ドロップダウンリストから RAM ロールを選択します。
新しい RAM ユーザーを作成する:RAM ユーザーの作成 をクリックします。RAM クイック権限付与 ページで、権限付与 をクリックします。
説明RAM ユーザーの名前と初期パスワードは、指定されたメールアドレスまたは携帯電話番号によってサブ管理者に送信されます。
ニックネーム:サブ管理者の表示名。
ロール:サブ管理者が担当するデフォルトまたはカスタムのロール。このロールは、サブ管理者に付与される権限を定義します。
メールアドレス:RAM ユーザーのログイン認証情報を受け取るためのサブ管理者のメールアドレス。
携帯電話番号:RAM ユーザーのログイン認証情報を受け取るためのサブ管理者の携帯電話番号。このパラメーターはオプションです。
管理者 タブで、新しく作成したサブ管理者を見つけ、操作 列の 権限の管理 をクリックします。
権限の管理 パネルで、権限付与の範囲を設定し、確認 をクリックします。リソースタイプとリソースグループに基づいて権限を付与できます。最終的な権限付与の範囲は、これら 2 つのディメンションの組み合わせになります。
リソースタイプ:クラウドコンピューター または ユーザー を選択できます。
重要サブ管理者に対して特定のリソースタイプを選択すると、サブ管理者はそのリソースタイプに対する完全な管理権限を持つことになります。これには、将来追加される同タイプのリソースも含まれます。たとえば、クラウドコンピューター を選択した場合、サブ管理者は現在の Alibaba Cloud アカウント内のすべてのクラウドコンピューター (将来購入されるものも含む) に対する管理権限を持ちます。
利用可能なリソースグループ:利用可能なリソースグループ セクションで、サブ管理者に権限を付与したいリソースグループを選択し、 アイコンをクリックして 権限が付与されたリソースグループ セクションに移動します。
EDS Enterprise と Cloud Phone は同じ階層型アクセス制御モジュールを使用します。したがって、いずれかのプロダクトコンソールで権限を付与すると、その変更は両方のプロダクトに適用されます。
次のステップ
新しく作成されたサブ管理者は、管理者権限 ページの管理者タブに表示されます。
サブ管理者にアタッチされている RAM ロールを変更する場合は、管理者タブで対象のサブ管理者を見つけ、操作 列の RAM ユーザーの変更 をクリックします。
サブ管理者の権限付与の範囲を変更する場合は、管理者タブで対象のサブ管理者を見つけ、操作 列の 権限の管理 をクリックします。
ニックネーム、ロール、メールアドレス、携帯電話番号など、サブ管理者の基本情報を変更する場合は、管理者タブで対象のサブ管理者を見つけ、操作 列の 編集 をクリックします。
サブ管理者を削除する場合は、管理者タブで対象のサブ管理者を見つけ、操作 列の 削除 をクリックします。
サブ管理者として EDS コンソールにログイン
サブ管理者は、メールアドレスまたはショートメッセージで EDS コンソールのログイン認証情報を取得できます。
RAM ユーザーログイン ページに移動します。
ユーザー名 テキストボックスに、取得したユーザー名を入力し、次へ をクリックします。
ユーザー名の例:
AU-492b4a18-****-****-****-****@1161219343******.onaliyun.comパスワード テキストボックスに、取得した初期パスワードを入力し、ログイン をクリックします。
パスワードの例:
AP:269fa57f-34c6-4818-af98-bccb7fb6****(条件付き) 初めて RAM ユーザーログイン ページにアクセスした場合は、プロンプトに従ってユーザーパスワードをリセットします。
新しいパスワードは、今後のログインに必要です。