本製品では、ユーザーごとに利用できる操作や、操作できるリソースを制限できます。
利用できる操作の集合
ロールと呼びます。
操作できるリソース
アクセス範囲と呼びます。
テナント管理者とテナント利用者のロールを設定するユーザーでは、管理、利用するテナントがアクセス範囲になります。
ユーザーごとにロールとアクセス範囲を設定することで、権限を制限できます。
ロール
ロールには以下の名前が付けられています。各ロールの詳細な操作権限については、「5.1.2 ロールと可能な操作」の「表5.3 ロール別操作可能範囲」を参照してください。
インフラ管理者(infra_admin)
インフラ管理者は、プライベートクラウド内のICTリソース(サーバ、ストレージ、ネットワーク、システムイメージ)の管理を行います。
本製品を使用して、ICTリソースをプール化して一元管理し、負荷状態の把握と必要に応じたICTリソースの追加、入替えおよびメンテナンスを行います。
テナント利用者、テナント管理者の用途に応じて、事前に定義した論理プラットフォーム(L-Platform)のひな型(L-Platformテンプレート)を用意し、テナント利用者、テナント管理者に公開します。
申請プロセスに沿って、テナント利用者、テナント管理者からの申請を受理し、申請内容を審査することもあります。
インフラ管理者の主な役割と作業を以下に示します。
プライベートクラウド内のICTリソース(サーバ、ストレージ、ネットワーク、システムイメージ)の管理(追加、入替、メンテナンス)
共用プール(グローバルプール)の管理
L-Platformテンプレートの作成、公開
論理プラットフォーム(L-Platform)を利用するための利用申請の審査
インフラオペレーター(infra_operator)
インフラオペレーターは、L-Platformに対して監視だけできます。その他、リソースプール内のリソースに対して、電源操作とバックアップができます。
インフラ監視者(monitor)
すべてのリソースの監視だけできます。
テナント管理者(tenant_admin)
テナント利用者の用途に応じて、インフラ管理者が事前に定義したL-Platformテンプレートをもとにテナント固有のL-Platformテンプレートを用意し、テナント利用者に公開します。
申請プロセスに沿って、テナント利用者からの申請を受理し、申請内容を承認することもあります。
テナント管理者は、テナント利用者の利用状況の確認や運用状況の監視ができます。
テナント管理者の主な役割と作業を以下に示します。
テナント専用リソースプール(ローカルプール)の管理
L-Platformテンプレートの管理
テナント利用者のアカウント管理
論理プラットフォーム(L-Platform)利用申請の承認
テナントオペレーター(tenant_operator)
テナントオペレーターは、テナント管理者ができる操作のうち、以下の操作だけできます。
リソースのバックアップ
L-Platformの電源操作
テナント全体のリソース監視
テナントのローカルプールの監視
テナント監視者(tenant_monitor)
テナント監視者は、L-PlatformとL-Serverの監視だけできます。
テナント利用者(tenant_user)
論理プラットフォーム(L-Platform)の利用申請を行い、申請に基づいて構成された論理プラットフォーム(L-Platform)を利用できます。
申請する際、テナント管理部門の責任者の承認が必要な場合、申請プロセスに沿って責任者へ承認を依頼します。
テナント利用者の主な役割と作業を以下に示します。
論理プラットフォーム(L-Platform)の利用申請
リソースの稼動状況確認
L-Platform利用者(lplatform_user)
L-Platform利用者は、テナント利用者(tenant_user)がL-Platformを利用するためのロールです。
L-Platform利用者は、L-Platformの操作、変更、削除ができます。
このロールはL-Platform作成時に自動的に割り当てられ、L-Platform削除時には自動的に削除されます。追加/削除は必要ありません。
管理者(administrator)
管理者は、インフラ管理者とテナント管理者を兼任する場合に利用してください。
オペレーター(operator)
オペレーターは、インフラオペレーターとテナントオペレーターを兼任する場合に利用してください。
監視者(monitor)
すべてのリソースの監視だけできます。
ユーザーグループ
ユーザーグループは、複数のユーザーを一括して管理する機能です。ユーザーと同様にロールとアクセス範囲を設定することで、そのユーザーグループに属するすべてのユーザーの権限をまとめて設定できます。
ユーザー作成時にユーザーグループを指定しない場合、作成したユーザーと同じユーザーグループになります。そのため、同一部門内で利用する場合、ユーザーグループの存在を考慮する必要はありません。
ユーザーとユーザーグループのアクセス範囲に指定されたリソースフォルダーとリソースを削除すると、アクセス範囲とロールの設定からも削除されます。
ユーザーとユーザーグループのアクセス範囲とロール設定の関係は、「表5.2 ユーザーとユーザーグループのアクセス範囲とロール設定の関係」のとおりです。
ユーザー | ユーザーグループ | アクセス範囲とロール |
---|---|---|
設定あり | 設定あり | ユーザーの設定が有効 |
設定あり | 設定なし | ユーザーの設定が有効 |
設定なし | 設定あり | ユーザーグループの設定が有効 |
設定なし | 設定なし | すべてのリソースにアクセス不可 |
ユーザーグループは、初期状態では"supervisor"ユーザーグループと"monitor"ユーザーグループだけが定義されています。
"supervisor"ユーザーグループには、"all=administrator"のアクセス範囲とロールが設定されています。
"all=administrator"は、アクセス範囲を制限しない管理者(インフラ管理者とテナント管理者を兼任する管理者)ロールです。
"monitor"ユーザーグループには、"all=monitor"のアクセス範囲とロールが設定されています。
"all=monitor"は、アクセス範囲を制限しない監視者(インフラ監視者とテナント監視者を兼任する監視者)ロールです。
テナントを新たに作成すると、テナントに対応するユーザーグループが作成されます。テナント管理者とテナント利用者のユーザーを作成すると、テナントに対応するユーザーグループに属します。