本文献は SoftLayer Advent Calendar 2014に投稿してます。
http://qiita.com/advent-calendar/2014/softlayer
SoftLayerのユーザ管理について説明します。
Softlayer運用においては、複数人で環境取り扱う場合が頻繁にあります。
管理者は、その際にメンバーごとのログインIDを発行します。
セキュリティにおいても重要な設定項目ですし、サービス開始時に必ず取り扱う項目かと思います。
以外に問合せが多いため、以下取り纏めてみました。
ここでは簡単にSoftLayerのユーザ管理の設定内容について説明します。
※2014年12月13日現在の情報です。
ご利用になるタイミングでは表示が異なる場合があります。適宜読み替えてご活用ください。
#1. ユーザ管理の目的
システム管理者がポータル機能や、稼働しているサーバー、ストレージ、ネットワークに対して、正しく制限しユーザへ公開する必要があります。
初期のセキュリティ設計、運用設計においても重要な役割と考えます。
#2. 利用シーン
- 特定サーバにのみSSL-VPNで接続できるIDを発行する(SSL-VPN接続は、同時に同一IDでに接続できません。利用するメンバー分のIDを発行をするケースがあります)
- 運用チームにポータル機能(一部)を利用させたい
- 管理者IDとは別に、他のメンバーに管理者権限を付与する
- 決済情報だけを特定の部署に公開する
#3. ユーザ追加設定
前提:ユーザー追加する権限を持っているIDでログインすること
3-1.ユーザー追加
・操作はポータルメニュー User-Accountの右上[Add User]よりユーザを追加します。
3-2.Profile
・ID情報を入力します。
UsernameがログインIDとなります。必須項目をすべて入力します。
3-3.Permission
・Permissionは、サポート、デバイス、ネットワーク、セキュリティ、サービス、
アカウントの**5つの設定※(以下概要を参照)**があります。
簡易的に進めるのであれば、[Quick Permissions]で推奨される項目をチェックするだけです。
3-4.ユーザー登録後に・・・
・SSL-VPNやサーバ利用許可する設定、サーバ接続許可設定は必要に応じて設定ください。
項目3-1図の[Device Access]、[VPN Access]より機能を有効にします。
#4. まとめ
SoftLayerのユーザー管理に限らずですが・・・
- テンポラリで作成したIDは、利用後に削除する
- 別途管理台帳(DBやワークフロー)なども社内のシステムに組み込むと、なお良い
- 定期的なパスワード変更を行う
- よりセキュリティを高めるために2要素認証を活用する