はじめに
はじめに結論を申し上げますと、完全に同じ権限を付与することはできません。 ただ、同じような権限をユーザーに設定できるなので、その方法を紹介していきます。IBM Cloudのアクセス権限
IBM CloudはSoftLayerやBluemixと呼ばれる別個に独立したサービスを提供していたことはご存知の方もいらっしゃると思います。IBM Cloudのアクセス管理はこれらのサービスで利用可能だったサービスのリソースも管理するために、下に示した3つの仕組みを持ちます。アカウント所有者は全ての権限を標準で付与されており、その権限を制限することはできません。アカウントに所属するその他のユーザーにアカウント所有者の持つ権限と同等の権限を付与したい場合、それぞれの仕組みで権限の付与を行う必要があります。権限を付与できるのはアカウント所有者とアカウント内ですでに適切なアクセス権限を付与されているユーザーのみですのでご注意ください。
IBM Cloudのアクセス管理の仕組みの種類
- クラシック・インフラストラクチャーのアクセス管理
- Cloud Foundryのアクセス管理
- リソース・コントローラーで管理されるサービスのアクセス管理 - 上記のクラシック・インフラストラクチャーとCloud Foundryを除く全てのサービス(大半のIBM Cloudサービス)がこちらに該当します
IBM Cloud DocのFAQ 「ユーザーをアカウント管理者に指定して全アクセス権限を割り当てる方法を教えてください。」に具体的な指示があり、その内容をベースに説明しています。なお、Docを読まなくてもいいように構成を見直してあります。
Docの記載
(1) 「すべての ID およびアクセス対応サービス (All Identity and Access enabled services)」に対する管理者役割と管理者役割を持つ IAM ポリシー。これにより、ユーザーはサービス・インスタンスを作成し、アカウント内のすべてのリソースへのアクセス権限をユーザーに割り当てることができます。
(2) すべてのアカウント管理サービスに対する管理者役割を持つ IAM ポリシー。これにより、ユーザーは、ユーザーの招待と削除、アクセス・グループの管理、サービス ID の管理、プライベート・カタログ・オファリングの管理、請求と使用量の追跡などのタスクを実行できます。
(3) クラシック・インフラストラクチャーのスーパーユーザー許可セット (すべての有効なクラシック・インフラストラクチャー許可を含みます)。
(4) すべての組織の Cloud Foundry 管理者 (ただし、組織を作成できるのはアカウント所有者だけです)。
(5) 代替アカウント所有者として設定されたトラステッド・プロファイルは、最高レベルのクラシック・インフラストラクチャー許可を持ち、全アクセス権限を付与する両方の IAM ポリシーを持ちます。 詳しくは、 代替アカウント所有者の設定を参照してください。
アクセス権限の付与手順
アカウント所有者(もしくは適切な権限が付与されたユーザー)として IBM Cloudにログインします。アクセス権限を付与したいユーザーはすでにアカウントに招待され、登録されているものとします。まだ招待されていない場合には以下の手順を実施する前にアカウント所有者に招待、ユーザーによる招待の受諾を行ってください。
以降の操作は初めて実施される方でも10分程度で終わる内容となっています。
IAMのページにアクセスします。画面左側に以下のようなメニューが表示されると思います。まず「ユーザー」をクリックします。
表示されたユーザーの一覧から権限を付与したいユーザーを選択し「ユーザー」列の氏名の部分をクリックします。
以下のような画面が表示されます。この表示を起点に作業を進めていきます。
まず、「親」としてアカウント所有者が選択されていることを確認します。選択されていない場合にはリストからアカウント所有者を選択し「適用」をクリックします。
クラシック・インフラストラクチャー アクセス権限の設定
次に「クラシック・インフラストラクチャー」タブを選択します。
「クラシック・インフラストラクチャー」タブが表示されない場合には、クラシック・インフラストラクチャーサービスを使用できないアカウントである可能性があります。クレジッドカードの登録もしくはサブスクリプションの購入が必要となります。
クラシック・インフラストラクチャーサービスを使用しない場合には後続のCloud Foundryの処理に進んでいただいて構いません。
最初に表示される「許可」セクションでは以下のアニメーションの通り、「許可セット」から「スーパーユーザー」を選択し「設定」をクリックし、さらに画面右下の「適用」をクリックします。
なお、アニメーションはアニメーションGIFになっているので、うまく表示できない場合は別の環境からご覧ください。
次に「装置」セクションを選択して、選択可能なチェックにすべてチェックを入れ「設定」をクリックします。
「クラシック・インフラストラクチャー」タブの作業はこれで終わりです。
Cloud Foundry アクセス権限の設定
次に「Cloud Foundry」タブを選択します。
「Cloud Foundry」タブが表示されない場合には、「Cloud Foundry」に関する作業を飛ばして次のその他のサービスに対する設定に進んでいただいて構いません。また、「Cloud Foundry」は2023年6月1日にサービス終了しました。一部のお客様を除きを次のその他のサービスに対する設定の手続きに進んで頂いて構わないです。
全てのCloud Foundry組織の管理者、そしてCloud Foundry組織配下の全てのスペースの管理者として設定を実施します。複雑な操作なので、こちらも下にアニメーションを用意しました。
テキストでも操作手順を記しておきます。
手順
- 表示された画面で「組織の割り当て」ボタンをクリックします。
- 「組織」セクションでは「組織の選択」リストから組織を1つ選択します。(複数の組織が表示された場合には残りの組織についても後ほど同様の作業を繰り返し実施します。)
- 「組織の役割」で「管理者」のみにチェックを入れ、「次へ」をクリックします。
- 「スペース」セクションではリージョンに表示されるリストのうち上部のもので「すべての現行リージョン」、下部のもので「すべての現行スペース」を選択します。「スペースの役割」で「管理者」のみにチェックを入れ「レビュー」をクリックします。
- 画面左下の「追加」をクリックし、画面右側の「割り当て」をクリックします。
- この手続の前半で複数の組織が表示された場合には「組織の割り当て」を再びクリックし、全ての組織に同様の設定を行います。
一旦ユーザーに対する設定を終了します。なお、複数のメンバーに同様に権限を付与したい場合、ここまでの手順を全てのユーザーに対して設定する必要があります。
その他のサービスへのアクセス権限の設定
ここからは残りの権限を「アクセス・グループ」と呼ばれる複数のユーザーに同じアクセス権限を設定できる方法を使って設定します。
画面左のメニューから「アクセス・グループ」を選択します。
表示された画面で「作成」をクリックします。
名前に管理者とわかる名前を設定して(この例ではadmins)、「作成」をクリックします。
アクセス・グループの設定画面が表示されるので、順番に設定します。
権限を付与したいユーザーにチェックを入れると画面上部に下図のようなメニューが表示されるので、「グループに追加」をクリックします。複数人追加したい場合には複数のユーザーにチェックを入れて「グループに追加」をクリックすることもできます。
次に「アクセス」タブをクリックします。
ここからはまた複雑な操作なのでアニメーションで説明します。
テキストでも手順を記しておきます。
手順
- 「アクセス権限の割り当て」をクリックします。-
- 表示されたポリシーの作成画面でアクセス権の設定を行います。
- 「サービス」セクションで「すべてのIDおよびアクセス対応サービス」を選択し、「次へ」をクリックします。
- 「リソース」セクションは「すべてのリソース」を選択し、「次へ」をクリックします。
- 「リソース・グループ・アクセス」セクションは「管理者」にチェックを入れ、「次へ」をクリックします。
- 「役割とアクション」は2箇所の「管理者」にチェックを入れ、「レビュー」をクリックします。
- 画面左下の「追加」をクリックします。
- 別のポリシーも追加していきます。
- 「サービス」セクションで「すべてのアカウント管理サービス」を選択し、「次へ」をクリックします。
- 「役割とアクション」は「管理者」にチェックを入れ、「レビュー」をクリックします。
- 画面左下の「追加」をクリックします。
- 最後に画面右下の「割り当て」をクリックします。
これで権限の設定は終了です。お疲れ様でした。
権限の付与はほぼリアルタイムで反映されるので、これで別のユーザーの方でもリソース管理についてはアカウント所有者とほぼ同等の権限でご利用いただけます。
最後にアカウント所有者の方へのお願い
アカウント所有者はアカウントの代表者でIBM Cloudからの各種連絡が届くことがあります。ここまでで実施した権限の付与を行ってもアカウント所有者にのみ届くメールがあります。英語のメールですが、非常に重要な情報が含まれることもありますので、適宜ご確認いただきたく、よろしくお願いいたします。
また、アカウント所有者の方が退職等でIBM Cloudにアクセスできなくなってしまうと、最悪のケースではアカウントが管理されていない状態になりかねません。退職や職掌を変更される場合にはアカウント所有者の変更で適切な新しいアカウント所有者の方に変更ください。実施いただけず、あとから変更する場合、アカウント所有者の方が手続きを開始した場合と比べて遥かに複雑な手続きを実施頂く必要があります。