LoginSignup
3
3

More than 1 year has passed since last update.

@dicekm-i

IBM Cloud IAM: 管理者(アカウント・オーナー)権限を他のユーザにも付与する方法

Last updated at Posted at 2020-10-15

本記事が古いですので、こちらをご参照ください。

IBM Cloud アカウント所有者と同じ権限を別のユーザーに付与する(2022年12月版)
https://qiita.com/masaffff/items/d78b4ecde12d5b4e5b03

はじめに (本記事は2020年9月時点のものとなります)

IBM Cloudを利用する際に、アカウント・オーナーと同等の権限を他のユーザに付与したいといったケースが存在します。その際の手順についてまとめましたのでご参照ください。
(いろいろな人からよく聞かれるので、記事にしました・・・)

ちなみにIBM Cloudのユーザ管理に関するマニュアルはこちらになります。
https://cloud.ibm.com/docs/account?topic=account-iamoverview

IBM Cloudの権限管理(IAM) の基礎知識:
IBM Cloudの権限はIBM Cloud Identity and Access Management(IAM)で管理します。

IAMには4つの権限カテゴリーがあります。
この4つの権限を必要に応じて、それぞれ付与することをイメージする必要があります。
(意識していないと、「サーバへアクセスする権限があっても、ポータル上でケースを起票できない」みたいなことが起こります)

image.png
それぞれの簡単な意味合いは以下になります。

  1. Cloud Foundry
    Cloud Foundryサービスに対する権限。Cloud Foundryを利用しない場合は無視して良いです。

  2. クラシック・インフラストラクチャー
    クラッシック・インフラストラクチャー(IaaS)に対する権限。なお、"VPC" や "PowerVM"、"ICOS"は、次の「IAMサービス」で管理するのでご注意ください。

  3. IAMサービス
    IBM CloudのPaaS系(Watson, DBなど)のサービスに対する権限管理。クラシック・インフラストラクチャーに当てはまらないサービスはこちらで管理することになります。

  4. アカウント管理
    IBM Cloudのポータル操作(ポータル上のユーザ管理・ケース作成・費用確認など)に対する権限管理。「ケースの作成(IBM Cloudへの問い合わせ)」をする場合には、ここのカテゴリの権限が必要です。

以下のサイトでもIAMの簡単な説明がされておりますので、ご参照ください。
IBM Cloud 新しい認証認可の仕組み(IBM Cloud IAM)の概要
IBM Cloud IAM をざっくり把握する

管理者権限を付与したユーザの追加手順

ここでは管理者権限を有する新規ユーザを招待するかたちで、アカウント・オーナー権限を付与する方法について記述いたします。

なお、既に「クラシック・インフラストラクチャー」環境が存在する場合には、以下の手順でユーザを招待した後に、既存のクラシック・インフラストラクチャーのサーバ群に権限を付与する作業が発生します。

① 管理者権限を付与したユーザの招待
② 既存の「クラシック・インフラストラクチャー」のサーバ群に対する権限付与

既に管理者権限を付与したいユーザがそのアカウントに招待されている場合には、IAMの「ユーザー」から権限を付与したいユーザを選択し、「アクセス・ポリシー」のタブで以下と同じような設定をしてください。

また、Cloud Foundryについては、本記事には記述していないので、適宜追加で付与してください。

① 管理者権限を付与したユーザの招待

1. ポータル画面で右上のところから「アクセス(IAM)」を選択します。
image.png

2. IAMのトップ画面から、右上の「ユーザの招待」をクリック

image.png

3. メールアドレスの入力

ユーザーの招待画面よりEメール・アドレスに招待したいユーザーのメール・アドレスを入力します。複数のEメール・アドレスを一度に招待する場合は、コンマ、スペース、改行で区切って入力してください(最大100人まで)。その後、「ユーザへの追加のアクセス権限の割り当て」を開いてください。

image.png

4.「IAMサービス」に対する権限付与
IAMサービス(Powerを含むPaaS系サービス)を選択し、権限を付与(追加ボタンをクリック)してください
image.png

5.「アカウント管理」に対する権限付与
アカウント管理(ポータル作業の権限)を開き、権限を付与(追加ボタンをクリック)してください
image.png

6.「クラシック・インフラストラクチャー」に対する権限付与
クラシック・インフラストラクチャー(IaaS)を選択し、権限を付与(追加ボタンをクリック)してください
image.png

7.ユーザの招待
右側のところで権限が付与されていることを確認し、「招待」をクリック
image.png

これで管理者権限をもったユーザを招待することができました。

② 「クラシック・インフラストラクチャー(Classic)」のサーバ群に対する権限付与

「クラシック・インフラストラクチャー」を利用する場合には、デバイスに対する権限付与も行う必要がございます。

また、既に「クラシック・インフラストラクチャー」のサーバが存在する場合は、それらに対しての管理権限を付与する必要がございます。
権限が付与されていないと、今のままでは既存のサーバ群をポータル上で確認することはできません。

8.IAM上で権限付与するユーザを選択
左メニュー[ユーザー]を選択し、 該当ユーザーをクリックしてください。
image.png

9.クラッシック・インフラ・ストラクチャーのデバイス管理権限の設定
[デバイス]タブより、[タイプの選択]および[将来のアクセスの有効化]のすべてにチェックを入れて[設定]をクリックしてください。

image.png

特に、[将来のアクセスの有効化]をチェックしないと、今後新たにサーバがオーダーされた場合にそれらに対する権限が自動的に付与されません。

10.VPNアクセス権限付与
必要に応じて、VPN接続許可の権限も付与してください
image.png

以上で、既存の「クラシック・インフラストラクチャー」のサーバ群に対しての権限付与が終わりました。

おわりに

IAMを利用することで、様々な単位(サービスごと・リソースグループごと)で権限付与することが可能です。
また「アクセス・グループ」を利用して、あらかじめ付与したい権限一覧のグループを作成しておき、そのグループを招待するユーザに対して付与することで、4つのカテゴリの権限を一括的に付与するようなことも可能です。

要件や用途に応じて、適宜設定にチャンレンジしてみてください。

以上

3
3
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
3