はじめに
こちらの記事は下記Advent Calendar 2024で紹介しているIBM Cloud権限設定における IBM Cloud Shell になります。
共通権限は割愛
こちらの記事に記載しているように、プラットフォーム・アクセス、サービス・アクセスの権限でそれぞれどのようなものが共通して設定されているかを紹介させて頂きました。
こちらの記事では共通部分で出現する権限を除いた各サービス毎の権限設定を紹介します。
IBM Cloud Shellで指定可能な権限のアクセス範囲
- Region
Regionの指定
IBM Cloud Shellの実行環境は現在ダラスとフランクフルトの2か所のみになります。実行環境としてどちらかでしか許さないケースがある場合、Regionを指定することで起動可能なCloud Shellを限定させることが可能です。
IBM Cloud Shellに設定された権限
プラットフォーム・アクセスの権限
※Admin : Administrator, KM : Key Manager, SCR : Service Configuration Reader
| 権限 | Viewer | Operator | Editor | Admin | KM | SCR |
|---|---|---|---|---|---|---|
| cloudshell.config.read | 〇 | |||||
| cloudshell.account-settings.update | 〇 | |||||
| cloudshell.server.create | 〇 | |||||
| cloudshell.server.manage-file | 〇 | |||||
| cloudshell.server.preview-web | 〇 |
プラットフォーム・アクセスの権限指定では、Administrator権限を有する場合のみ利用可能となっています。
利用可能な機能を制限できるのはサービス・アクセス側の役割になります。
サービス・アクセスの権限
| 権限 | クラウド・オペレーター | クラウド開発者 | ファイル・マネージャー |
|---|---|---|---|
| cloudshell.server.create | 〇 | 〇 | 〇 |
| cloudshell.server.manage-file | 〇 | ||
| cloudshell.server.preview-web | 〇 |
通常Reader,Writer,Managerといった役割が構成されますが、Cloud Shellでは上記3つの役割のみが用意されています。
Cloud Shell自体はブラウザでアクセス可能な仮想Linux環境が立ち上がり、そこから利用するIBM Cloudアカウントに対して操作等を実施します。その関係で全ての役割にはサーバ起動権限が与えられます。
クラウド・オペレーターは上記Linux環境でコマンド実行のみを実施するケースを想定されています。
クラウド開発者は上記のLinux環境の特定のポートに対してブラウザでアクセスするWebプレビュー権限を持ちます。
ファイル・マネージャーはLinux環境とブラウザを通じてファイルのUpload/Downloadを実行する権限を持ちます。運用作業で実施した結果を取得といったことも可能です。
さいごに
IBM Cloud Shellとして個別に設定されている権限は少なかったですが、サービス・アクセスで設定されている役割は他の権限と少し違う部分がありましたね。
IBM Cloud Shellで立ち上がるLinux環境はCLIが基本的に最新版になっており、ローカルPCだと時折プラグイン等Updateしないと使えないこともあるので、利用自体は重宝していたりします。
CLIの実行が何か情報収集に非常に有効にもかかわらず、誰かに話をする時にCLIのインストールが難しいというケースもあるので、そういう場合でもCloud Shellでの実行も案内したりします。
単純にCLIの実行以外にもWebプレビューやファイルの送受信といった機能もあるので、権限を設定してうまく利用して頂ければと思います。