New Relicを使い始めて「さあ、しっかりユーザー管理をしていこう」と思ったものの、用語や設定箇所が多くて何から手を付ければいいか迷ってしまうことはありませんか?本記事では管理者が最初に検討すべきポイントから具体的な操作手順まで、ステップバイステップで解説します。
01 最初に検討するポイント
運用を開始する前に、まずは「どのように分けるか」という方針を決めましょう。
ここで紹介する用語(OrganizationやAccount、GroupやUser、Role)の概念について詳しく知りたい場合は下記のQiita記事を参照してください。
Organization(組織)の分割方針
Organizationを分けると、契約および請求が分割されます。プロジェクト単位で厳密に個別採算を行う必要がある場合に検討します。
Account(アカウント)の分割方針
アカウントはそのままデータ参照の境界になるため、「データを混在させたくない単位」でアカウントを追加します。
- 環境別:本番環境、開発環境など、用途が異なる場合
- 組織・システム別:管理する組織や会社が異なるシステムなど、相互にデータを参照させたくない場合
もしアカウント毎にデータ参照権限の範囲を設定したい場合は、その範囲毎にグループを追加することも検討しておきましょう。
もっと詳しく知りたい場合は下記のQiita記事を参考にしてください
機能制限の方針
一部の機能のみ利用可能、もしくは利用できないようにしたい場合、専用のロールを作り、パーミッションを設定します。
ユーザー管理方式
New RelicのUIでユーザーを管理するか、SSOやSCIMを利用して自分の組織のユーザー管理システムで管理するか、もしくは複数の認証ドメインを利用して認証するか、を検討します。
もしSSO、SCIMを利用する場合は下記の記事を参考にしてください。
02 アカウントを作成する
管理画面(Administration)の「Access Management」メニューの「Accounts」タブの「Create acccount」からアカウントを作成します。
- ネーミングのコツ:アカウント名はあとから変更可能なため、最初は大まかなネーミングルールでも大丈夫ですが、アカウントが増える見込みの場合はシステム名や環境名をプレフィックス(接頭辞)として活用し、どのアカウントにどのシステムのデータが入っているのか、わかりやすくしましょう
- 注意点:アカウントは「無効化」はできますが「削除」はできません
03 グループを作成する(オプション)
New Relicにはデフォルトで以下のグループが用意されています。データ参照権限の範囲を制限しない場合など、このまま利用することも可能です。
- Admin:ユーザー管理、請求管理、アカウント作成などが可能な特権グループ
- User:Agentの設定、データの閲覧、アラート設定、ダッシュボード作成など、システムのオブザーバビリティに必要な一通りの操作が可能なグループ
もしアカウント毎にデータ参照権限の範囲を設定したい場合はグループを追加します。アカウントにアクセスする権限は個人毎ではなくグループに付与するためです。
管理画面(Administration)の「Access Management」メニューの「Groups」タブの「Add a group」からアカウントを作成します。
グループの作り方について詳細を知りたい場合は下記のQiita記事を参照してください。
04 Role(ロール)を作成する(オプション)
ロールはPermission、つまり「何ができるか」を定義するものです。
New Relicにはデフォルトで以下のような標準ロールが複数用意されており、特定の機能のみ制限したい、といった要望がなければカスタムロールを作らず、標準ロールのみで管理することが可能です。
- Organization Product Admin:スコアカードやチーム管理など、組織スコープのオブザーバビリティ機能に関連する権限をもつロール
- All Product Admin:組織レベルの設定、ユーザー、請求を管理する機能を除く、すべてのNew Relicプラットフォーム権限をもつロール
- Organization Manager:アカウントの追加、組織とアカウントの名前の変更など、組織の設定に関連する権限をもつロール
05 Access Grant(アクセスグラント)を設定する
「誰が」「何を」「どの範囲で」できるかを紐づける設定をアクセスグラントと呼びます。
アクセスグラントは、以下の3つの要素で構成されます。
- Group:どのグループに対して
- Role:何の権限を
- Target:どの範囲(組織全体、または特定のアカウント)に対して付与するか
これらを組み合わせることで、「Aグループは本番アカウントの閲覧のみ、Bグループは開発アカウントの管理者」といった柔軟な制御が可能になります。
先程作成したアカウントに紐づける設定を行います。管理画面(Administration)の「Access Management」メニューの「Access grants」タブの「Add new grant」から追加します。
typeは「Account」を選択します。
グループ、ロール、アカウントを選択し、「Create grant」を行います。例えばグループは「Admin」、ロールは「All Product Admin」、アカウントは先程作成したアカウントを選択します。
複数のアクセスグラントを一括で作成可能です。
デフォルトのアカウントには下記のような三種類のAccess Grantsが行われています。参考にしてください。
| グループ | ロール |
|---|---|
| Admin | All Product Admin |
| Admin | Billing User |
| User | All Product Admin |
06 ユーザーを作成する
準備が整ったら、ユーザーを招待しましょう。
ここで重要になるのがユーザータイプです。先程付与したロールよりも、このユーザータイプによる制限が優先されます。例えば、Basic UserをAdminグループに所属させても下記の機能しか利用できません。
| ユーザータイプ | 概要 |
|---|---|
| Basic User | 無料。データのクエリ、カスタムダッシュボードの利用、基本的なアラート設定が可能。 |
| Core User | Basicの機能に加え、エラー詳細の確認やログ管理など、一部の開発者向け機能が利用可能。 |
| Full Platform User | すべての機能にアクセス可能。 |
ユーザータイプの詳細を知りたい場合は下記のQiita記事を参照してください。
特に決まっていない場合は、一旦Basic Userで招待し、必要に応じてタイプを変更してください。
管理画面(Administration)の「User Management」メニューの「Add user」から作成します。
ユーザーを作成する際の操作や流れの詳細を知りたい場合は下記のQiita記事を参照してください。
07 ユーザーをグループに追加する
ユーザーをグループに追加しなければAccess Grantsが有効にならず、なんの権限も持たない状態になってしまいます。必ず、どれかのグループに追加しましょう。
先程作成したアカウントに紐づける設定を行います。管理画面(Administration)の「Access Management」メニューの「Groups」タブの該当グループの「⋯」の「Edit」から追加するか、
「User Management」メニューの該当ユーザーをクリックし、「Access」で追加します。
参考となるNew Relic公式ドキュメント
さいごに
いかがだったでしょうか。
本記事では、スムーズな運用のスタートを切るために、まず検討・設定すべき最小限の内容に絞ってご紹介しました。
New Relicの活用が進むにつれて、アカウントやユーザーの追加、より詳細な機能制限が必要になる場面も増えてくるでしょう。その際には、グループ名やロール名のネーミングルールを整えるなど、組織に合わせた「型」を作っていくことが長期的な運用の鍵となります。
この記事が、皆様のNew Relicにおける「最初の一歩」を支える助けになれば幸いです。
その他
New Relicでは、新しい機能やその活用方法について、QiitaやXで発信しています!
無料でアカウント作成も可能なのでぜひお試しください!
New Relic株式会社のX(旧Twitter) や Qiita OrganizationOrganizationでは、
新機能を含む活用方法を公開していますので、ぜひフォローをお願いします。
無料のアカウントで試してみよう!