複雑な組織構造と多数のクラウドコンピューターを持つお客様にとって、メイン管理者を補佐して管理タスクを行うためにサブ管理者を作成する必要があることがよくあります。しかし、情報セキュリティのベストプラクティスである最小権限の原則に従い、すべてのサブ管理者に完全な機能とデータの権限を付与するべきではありません。このトピックでは、Elastic Desktop Service (EDS) の権限管理モジュールを使用して、サブ管理者のための機能レベルおよびデータレベルの権限隔離を実装する方法について説明します。
利用シーン
Alibaba Cloud アカウント (root ユーザー) で Elastic Desktop Service (EDS) コンソールにログインすると、すべての機能にアクセスし、すべてのリソースを管理するための完全な権限を持ちます。複雑な構造と多数のクラウドコンピューターを持つ大規模な組織では、単一の管理者に依存すると、過剰なワークロードが発生し、内部の権限隔離ポリシーに違反する可能性があります。これに対処するため、1 人または複数のサブ管理者を作成して管理タスクを分担できます。このアプローチには、通常、次の要件が含まれます。
機能レベルの権限隔離:例えば、サブ管理者 A はユーザーの作成と管理のみ可能で、クラウドコンピューターの管理はできず、サブ管理者 B はすべてのデータの表示のみが可能です。
データレベルの権限隔離:例えば、サブ管理者 C は研究開発部門のクラウドコンピューターのみを管理でき、サブ管理者 D は設計部門のクラウドコンピューターのみを管理できます。
ソリューション
EDS の権限管理モジュールは、これらの要件を満たすように設計されています。
このモジュールは、以下のディメンションからこれらの課題に対応します。
人員ディメンション:サブ管理者を作成できます。サブ管理者に割り当てられたロールは機能権限を定義し、管理を許可されたリソースグループはデータ権限を定義します。
機能ディメンション:組み込みロールを使用するか、カスタムロールを作成できます。ロールは権限のコレクションであり、ユーザーがアクセスできるコンソールモジュールと実行できる操作を定義します。これにより、機能レベルの権限隔離が実装されます。組み込みロールには次のものがあります。
スーパー管理者:すべての機能を使用し、すべてのクラウドリソースを管理するための完全な権限を持ちます。スーパー管理者のみが他の管理者を作成および管理できます。
システム管理者:クラウドリソースの管理、リソースアクセスの権限付与、システムステータスの監視、および O&M タスクを実行する権限を持ちます。ユーザーを作成または管理する権限はありません。
セキュリティ監査管理者:読み取り専用権限を持ち、いかなる操作も実行できません。
セキュリティ管理者:ユーザーの作成と管理、およびセキュリティデータ処理ステータスの監視を行う権限を持ちますが、クラウドリソースを管理することはできません。
データディメンション:リソースグループを作成できます。リソースグループは、権限隔離を実装するために使用されるクラウドコンピューターリソースのコレクションです。
したがって、権限管理モジュールを使用すると、前述の利用シーンに簡単に対応できます。
要件 | ソリューション |
|
|
|
|
ロールの作成
必要に応じて、組み込みロールを使用するか、カスタムロールを作成できます。その後、ロールをサブ管理者に割り当てて、機能レベルの権限隔離を実装します。
左側のナビゲーションウィンドウで、 を選択します。管理者権限 ページで、ロール タブをクリックします。
Role タブで、Create Role をクリックし、次のパラメーターを設定してから OK をクリックします。
名前:ロールの名前を入力します。
親ロール:組み込みロールから親ロールを選択します。
親ロールを選択すると、システムはその権限を Configure Permission セクションにロードし、カスタマイズできます。
(オプション) 説明:他のロールと区別するために、ロールの説明を入力します。
リソースグループの作成
必要に応じてリソースグループを作成し、クラウドコンピューターを追加できます。その後、サブ管理者に特定のリソースグループへのアクセスを許可して、データレベルの権限隔離を実装します。
左側のナビゲーションウィンドウで、 を選択します。
Resource Group ページで、Create Resource Group をクリックし、表示されるダイアログボックスで Name を入力します。
説明名前の要件:名前は最大 30 文字です。大文字または小文字の英字、または漢字で始まる必要があり、
http://またはhttps://で始めることはできません。サポートされている文字は、漢字、英字、数字、コロン (:)、アンダースコア (_)、ピリオド (.)、ハイフン (-) です。Configure Resources and Authorize ダイアログボックスで、Go Now をクリックします。
Resource Management タブで、Transfer In をクリックし、リソースグループに追加するクラウドコンピューターを選択してから、OK をクリックします。
次のステップ
作成されたリソースグループは Resource Group ページに表示されます。
リソースグループに権限が付与されたサブ管理者を追加または削除するには、対象のリソースグループを見つけ、Manage Authorization 列の Actions をクリックし、Authorize Administrator をクリックします。Authorize Administrator パネルで設定を構成します。
説明権限を付与したいサブ管理者がリストにない場合は、Create Administrator をクリックします。
リソースグループ内のリソースを追加または削除するには、対象のリソースグループを見つけ、Resource Management 列の Actions をクリックします。
サブ管理者の作成と権限付与
サブ管理者を作成する際、機能レベルの権限隔離のためにロールを割り当て、データレベルの権限隔離のためにリソースタイプとリソースグループに基づいて権限を付与します。
左側のナビゲーションウィンドウで、 を選択します。
管理者権限 ページで、Create Administrator をクリックし、次のパラメーターを設定してから 作成 をクリックします。
RAM ユーザーとの関連付け:サブ管理者がコンソールにログインして管理タスクを実行するには、RAM ユーザーが必要です。次のいずれかの操作を実行できます。
現在の Alibaba Cloud アカウント配下の既存の RAM ユーザーを選択する:Existing RAM Users を選択し、ドロップダウンリストからユーザーを選択します。
新しい RAM ユーザーを作成する:Create RAM User を選択し、Confirm をクリックします。
説明システムは、RAM ユーザーのユーザー名と初期パスワードを、指定したメールアドレスまたは携帯電話番号に送信します。
ニックネーム:サブ管理者の表示名を入力します。
ロール:サブ管理者の組み込みロールまたはカスタムロールを選択します。これにより、ユーザーの機能権限が決まります。
メールアドレス:RAM ユーザーのログイン認証情報などの通知を受け取るサブ管理者のメールアドレスを入力します。
(オプション) 電話番号:RAM ユーザーのログイン認証情報などの通知を受け取るサブ管理者の携帯電話番号を入力します。
管理者権限 ページで、作成したサブ管理者を見つけ、Manage Authorization 列の Actions をクリックします。
Manage Authorization パネルで、サブ管理者の権限付与範囲を設定し、OK をクリックします。リソースタイプとリソースグループによって権限を付与できます。サブ管理者の最終的な権限付与範囲は、両方の方法で付与された権限の和集合です。
リソースタイプ:Cloud Computer または User を選択できます。
重要リソースタイプを選択すると、サブ管理者はそのタイプの既存および将来のすべてのリソースに対する完全な管理権限を取得します。たとえば、Cloud Computer を選択した場合、サブ管理者は現在の Alibaba Cloud アカウント配下のすべての既存および将来のクラウドコンピューターを管理できます。
リソースグループ:Available Resource Group エリアで、目的のリソースグループを選択し、 アイコンをクリックして Authorized Resource Group エリアに移動します。
EDS Enterprise と Cloud Phone は同じ階層型アクセス制御モジュールを共有します。一方のプロダクトのコンソールで付与された権限は、両方のプロダクトの対応する機能に適用されます。