はじめに
こちらの記事は下記Advent Calendar 2024で紹介しているIBM Cloud権限設定における Continuous Delivery になります。
共通権限は割愛
こちらの記事に記載しているように、プラットフォーム・アクセス、サービス・アクセスの権限でそれぞれどのようなものが共通して設定されているかを紹介させて頂きました。
こちらの記事では共通部分で出現する権限を除いた各サービス毎の権限設定を紹介します。
Continuous Deliveryで指定可能な権限のアクセス範囲
- リソース・グループ
- serviceInstance
- region
リソース・グループの指定
これは指定されたリソース・グループに所属するContinuous Deliveryのみに対してアクセス権限を適用します。異なるリソース・グループのContinuous Deliveryに対しては別途権限を設定する必要があります。
serviceInstanceの指定
これは既に作成されたContinuous Deliveryのインスタンスを指定することで、特定環境のみの権限を与えることが可能になります。
regionの指定
これは jp-tok といったContinuous Deliveryの存在するRegionを指定することで、その指定されたRegionのみの権限を与えることが可能になります。
Continuous Deliveryに設定された権限
Continuous Deliveryについては、サービス・アクセス、プラットフォーム・アクセスの権限をまとめて確認するほうがわかりやすい部分があります。
※Admin : Administrator, KM : Key Manager, SCR : Service Configuration Reader
| 権限 | Writer | Manager | Viewer | Operator | Editor | Admin | KM | SCR |
|---|---|---|---|---|---|---|---|---|
| continuous-delivery.consolidated-auth-users.list | 〇 | 〇 | 〇 | 〇 | 〇 | |||
| continuous-delivery.dashboard.view | 〇 | 〇 | 〇 | |||||
| continuous-delivery.instance.add-auth-users | 〇 | 〇 | 〇 | |||||
| continuous-delivery.instance.config-auth-users | 〇 | 〇 | ||||||
| continuous-delivery.instance.remove-auth-users | 〇 | 〇 | 〇 | |||||
| continuous-delivery.settings.read | 〇 | 〇 | 〇 | 〇 | 〇 | |||
| continuous-delivery.settings.update | 〇 | 〇 |
サービス・アクセスとプラットフォーム・アクセスの権限で利用している権限が重複しています。
サービス・アクセスの権限について
まず、Readerの役割が無く、Writer、Managerのみとなっています。
また、WriterはContinuous Deliveryのインスタンスに対してアクセス可能なユーザーの追加、削除のみが可能でそれ以外に参照したりも出来ない権限となっています。
Continuous Deliveryを利用して機能をいろいろ利用する場合、Manager権限を設定するのが良さそうです。
プラットフォーム・アクセスの権限について
参照のみといった権限を与える場合はOperator、Editorといった権限を付与すれば良さそうです。
完全に何でも可能な権限を与える場合はAdministratorになりますね。
さいごに
Continuous Deliveryはサービス・アクセス、プラットフォーム・アクセスのそれぞれで対象とする権限が同じものに対して権限の有無を決定しているので、全てひっくるめてどの役割に設定するか、を検討する形になりそうです。この辺りはちょっと特殊です。
ただ、Continuous Deliveryの利用仮定でパイプラインやら使って新規サービスインスタンスを立ち上げる権限が必要になりそうなので、Administrator権限を設定するのが無難かもしれません。