本製品では、ユーザーごとに利用できる操作や、操作可能なリソースを制限できます。利用できる操作の集合をロール、操作可能なリソースをアクセス範囲と呼びます。
ユーザーごとにロールとアクセス範囲を設定することで、権限を制限できます。
ユーザーグループは、複数のユーザーを一括して管理する機能です。ユーザーと同様にロールとアクセス範囲を設定することで、そのユーザーグループに属するすべてのユーザーの権限をまとめて設定できます。
ユーザーグループは、初期状態では"supervisor"ユーザーグループだけ定義されています。ユーザー作成時にユーザーグループを指定しない場合、"supervisor"ユーザーグループになります。
"supervisor"ユーザーグループには、"all=supervisor"のアクセス範囲とロールが設定されています。
ユーザーにアクセス範囲とロールが設定されていない場合、ユーザーグループのアクセス範囲とロールが有効になります。
ユーザーにアクセス範囲とロールが設定されている場合、ユーザーのアクセス範囲とロールだけ有効になります。
ユーザーのアクセス範囲に指定されたリソースフォルダーおよびリソースを削除すると、ユーザーのアクセス範囲からも削除されます。
ユーザーのアクセス範囲に指定されたリソースフォルダーおよびリソースをすべて削除すると、そのユーザーのアクセス範囲はユーザーグループに設定されたアクセス範囲となります。
また、ユーザーグループのアクセス範囲に指定されたリソースフォルダーおよびリソースをすべて削除した場合、そのユーザーグループに属するユーザーは、すべてのリソースにアクセスできなくなります。
このため、同一部門内で利用する場合、ユーザーグループの存在を意識する必要はありません。
ロールとユーザーグループの詳細については、「付録C ロール・ユーザーグループ」を参照してください。
ユーザーとロールの管理にディレクトリサービスを利用できます。導入方法、運用方法の詳細は、「C.4 ディレクトリサービスによるユーザー管理」を参照してください。
ロールには以下の名前が付けられています。各ロールの詳細な操作権限は、「C.1 ロール」の「表C.1 ロール別操作可能範囲」を参照してください。
ロール種別 | ロールの名前 |
|---|---|
基本ロール | supervisor(特権管理者) |
業務管理ロール | service_admin(業務管理者) |
インフラ管理ロール | infra_admin(インフラ管理者) |
リソースの管理者とL-Serverの利用者が共通の環境では、基本ロールだけで運用できます。
基本ロールは、以下の操作権限をもっているロールです。
ロールの名前 | リソースの操作 | ユーザーの操作 |
|---|---|---|
supervisor(特権管理者) | すべて | すべてのユーザー |
administrator(管理者) | すべて | ユーザーグループ内 |
operator(オペレーター) | 監視、電源操作、スナップショットだけ | 自分の情報の変更だけ |
monitor(監視者) | 監視だけ | 自分の情報の変更だけ |
業務管理ロールは、操作できるリソースの種類がL-Serverだけです。L-Serverを貸し出すクラウド型の運用など、L-Serverの管理を別の管理者にまかせる場合に利用してください。
service_admin(業務管理者)は、以下の操作と、対応するコマンドの操作だけができます。
L-Server
サーバ間の移動(マイグレーション)を除くすべての操作
リソースプール
表示
リソースフォルダー
すべての操作
テナントフォルダー
表示
lserver_operator(L-Serverオペレーター)とlserver_monitor(L-Server監視者)は、基本ロールのoperator(オペレーター)とmonitor(監視者)が利用できるリソースの操作のうち、L-Serverに対してだけ操作できます。
インフラ管理ロールは、L-Serverに対する運用時の操作を禁止したロールです。
誤操作でL-Serverの運用を阻害しないように、インフラを管理するユーザーの権限を制限したい場合に利用してください。
infra_admin(インフラ管理者)は、L-Serverに対しては、監視と「6.8 サーバ間の移動(マイグレーション)」の操作しかできませんが、その他のリソースに対してはすべての操作ができます。
infra_operator(インフラオペレーター)は、L-Serverに対しては監視しかできません。その他のリソースに対しては、電源操作だけできます。
