この記事は さくらインターネット Advent Calendar 2024 Part2 24日目の記事です。
この記事では、さくらのクラウドで最近リリースされた「ユーザグループ機能」を使ってみます。
さくらのクラウドについて
さくらのクラウドは、仮想化されたインフラを提供するクラウドサービスです。
さくらのクラウドでは、クラウドを操作する人ごとに ユーザ を作成し、その人に合わせた アクセス権限 を与えることができます。
例えば、こんなイメージです。
- 開発責任者の「管理太郎」さん
- サーバの作成や削除ができる必要がある
- → 「管理太郎」さんの
ユーザには作成・削除というアクセス権限を与える
- 開発者の「開発太郎」さん
- サーバの電源を操作できる必要がある
- → 「開発太郎」さんの
ユーザには電源操作というアクセス権限を与える
今回追加されたユーザグループ機能を使うと、 グループ という単位で複数の ユーザ を整理できます。
アクセス権限 は グループ にも与えることができるので、 ユーザ ではなく グループ に アクセス権限 を与えることで、権限の管理や付け外しがしやすくなります。
ユーザグループ機能を実際に使ってみた
ユーザグループ機能を実際に使い、「クラウドAPI開発チーム」という架空のチームの管理をしてみようと思います。
- 開発責任者の「管理太郎」さん
- 「クラウドAPI開発チーム」で扱うリソースに対する全ての権限を持たせたい
- 「さくらのクラウド」自体の管理もしていることとする
- 開発者の「開発太郎」さん
- 「クラウドAPI開発チーム」で扱うリソースの電源操作だけできればよい
やること
- アカウントを作成する
- ユーザを作成する
- グループを作成する
- アカウントに対するアクセス権限を、グループに持たせる
1. アカウントを作成する
まずはチーム用の作業領域を作成しましょう。
さくらのクラウドのホーム画面で画面左側の「アカウント」をクリックします。
画面左上の「アカウントの作成」をクリックします。
約款と個人情報の取扱いに同意します。
名前やアカウントコードを入力します。
今回は「クラウドAPI開発チーム」に対応するアカウントを作成します。
別途ユーザは作成するので、「このアカウント用の同名ユーザを作成」はチェックを外しましょう。
画面左上の「作成」をクリックするとアカウントが作られます。
これでチームに対応する作業領域ができました。
2. ユーザを作成する
続いてチームメンバーに対応する「ユーザ」を作成します。
画面左側の「ユーザ」をクリックします。
画面左上の「ユーザの作成」をクリックします。
名前、ユーザコード、パスワードを入力して画面左上の「作成」をクリックするとユーザが作られます。
「管理太郎」「開発太郎」それぞれのユーザを作りましょう。
3. グループを作成する
次に「ユーザ」をまとめる「グループ」を作成します。
今回は、下記のような単位でグループを整理してみようと思います。
- さくらのクラウド管理者グループ ... 全社で使う「さくらのクラウド」を管理する
-
リソース閲覧権限 ... どんなリソースが存在するか確認できる -
請求閲覧権限 ... アカウントの請求情報を確認できる -
イベントログ権限 ... 「さくらのクラウド」上でどのような操作が行われたか確認できる
-
- クラウドAPI開発チーム管理者グループ
-
作成・削除権限 ... クラウドAPI開発チームで必要なリソースを作成・削除できる
-
- クラウドAPI開発チーム開発者グループ
-
電源操作権限 ... クラウドAPI開発チームで使うリソースの電源を操作できる
-
まず、画面左側の「ユーザグループ」をクリックします。
画面左上の「ユーザグループの作成」をクリックします。
名前を入力し、所属させるユーザを選択して「作成」をクリックするとグループが作られます。
「さくらのクラウド管理者グループ」「クラウドAPI開発チーム管理者グループ」「クラウドAPI開発チーム開発者グループ」それぞれを作りましょう。
4. アカウントに対するアクセス権限を、グループに持たせる
画面左側の「アカウント」をクリックします。
先ほど作成した「クラウドAPI開発チーム」を選択します。
画面下部にユーザやユーザグループが表示されます。
今回は「ユーザのアクセス権限」はいじらず、「ユーザグループのアクセス権限」だけを編集します。
「保存」をクリックすると、アカウントへのアクセス権限が保存されます。
これで、それぞれのグループに所属するユーザは、それぞれのグループに付与したアクセス権限を行使できるようになりました。
新しくメンバーが増えたときや、あるグループに持たせたい権限が変わったときは、グループにユーザを追加したり、グループの持つアクセス権限を調整したりするだけで済むようになります。
まとめ
さくらのクラウドに追加された「ユーザグループ機能」を使ってみました。
アクセス権限をユーザに直接付与せず、グループを介して付与するのは、アクセス権限の管理におけるベストプラクティスの一つかと思います。
「ユーザグループ機能」を通して、よりアクセス権限が管理しやすくなると嬉しいです。
さくらのクラウドでは、まだまだアクセス権限の管理が便利になるよう鋭意開発中です。
さくらのクラウド自体の開発に興味が湧いた方は、こちらもチェックしてみてください。
おまけ
さくらのクラウドの「アクセス権限」に関する用語をまとめてみました。
| 概念 | 単位 | 説明 | 例 |
|---|---|---|---|
| 会員 | - | さくらインターネットが提供するサービスの会員で、さくらのクラウドでは特権管理者に相当します。 | さくらインターネット株式会社 |
| ユーザ | 会員単位 | さくらのクラウドのユーザーです。法人やチームにおける従業員やチームメンバーに相当します。 | 管理太郎、開発太郎 |
| アカウント | 会員単位 | 作業領域です。さくらのクラウド上に構築するサービスやシステムごとにアカウントを分けるごとで管理がしやすくなります。 | クラウドAPI開発チーム |
| アクセス権限 | アカウント単位 | ユーザやAPIが持つ、さくらのクラウドに対する権限です。アカウントごとに異なる権限を付与できます。 | 「請求閲覧」権限 |
| グループ | 会員単位 | 複数のユーザをまとめたものです。 | 「クラウドAPI開発チーム管理者」グループ |
より詳細な使い方は、さくらのクラウドのマニュアルをご参照ください。