FJcloud実践
マルチアカウント利用によるメリット
本記事では、FJcloud-Vのマルチアカウント機能を、ユースケースを使い、実際の操作を交えて解説します。
マルチアカウントの機能について、大きく3つに分けて解説します。
- マルチアカウントを利用する理由
- 子アカウントの作成方法
- 子アカウントの操作確認
この手順に従うことで、マルチアカウントのユースケースおよび、利用方法を理解することができます。
1. マルチアカウント機能を利用する理由
マルチアカウントを利用するにあたり、以下の2点を知っておく必要があります。
- 管理者アカウント権限のみでの運用の危険性
- 子アカウントを作成することのメリット
1-1. 管理者アカウント権限のみでの運用の危険性
FJcloud-Vでは、利用する際に管理者アカウントが一つ用意されます。
このアカウントは、どんな操作も行うことができる権限を持っています。
この管理者アカウントをそのまま使い続けると、以下のような危険性があります。
- セキュリティリスクの増大:
管理者アカウントは全ての権限を持っているため、悪意のある利用者が利用するとシステム全体が危険にさらされます。 - 誤操作のリスク:
管理者アカウントでの操作はシステム全体に影響を与えるため、誤った操作を実行すると重大な障害を引き起こす可能性があります。 - 監査とトラッキングの困難:
単一のアカウントを複数のユーザーが使用すると、誰がどの操作を行ったかを追跡するのが難しくなります。
1-2. 子アカウントを作成することのメリット
子アカウントを作成すると、以下のメリットが得られます。
- セキュリティリスクの減少:
必要な操作のみを行うように子アカウントに必要最低限の権限のみを付与し、不要な権限を持たせないようにできます。 - リスクの分散:
誤操作やセキュリティ侵害の影響が限定的で、システム全体に重大な影響を与えるリスクが低くなります。 - 不正アクセスの監視:
子アカウントごとに使用履歴を含むアクセスログを定期的に監視し、不正なアクセスや操作を早期に発見できます。
具体的に、子アカウントを使って何ができるのかを見ていきます。
2. 前提条件
本ブログは、以下の前提知識がある方を想定しています。
- FJcloud-Vの基本的なコントロールパネルの操作、サービスに関する知識
3. 検証概要
管理アカウントを使って子アカウントを作成する方法と、ユースケースに沿った使い方をご紹介します。
ユースケースとして以下の3つを想定しています。
これらユースケースにそって子アカウントを用意し、操作確認までを行います。
3-1. ユースケース1
リソースの状況確認など閲覧のみを必要とするユースケースです。
作成する子アカウントには、閲覧権限のみ付与します。本ユーザーが実施する作業は、サーバーのステータス、リソース状況など監視作業を想定しています。
3-2. ユースケース2
運用管理全般を、単一のユーザーにて実施するユースケースです。
作成する子アカウントには、全サービス・機能への操作・閲覧権限を付与します。
本ユーザーが実施する作業は、サーバーの起動、停止、再起動、サーバーへのディスクの接続、切断や、ネットワークの設定変更、など構成変更を伴うものを想定しています。
3-3. ユースケース3
担当ごとに管理する範囲が規定されており、作業範囲で権限を分けるユースケースです。
作成する子アカウントには、担当するサービス・機能への操作・閲覧権限を付与します。
表中の管理者権限とは、当該サービス・機能を管理するために必要な権限を指します。
各ユーザーが実施する作業は、それぞれ以下のサービス・機能を想定しています。
| 担当者名 | 想定操作 |
|---|---|
| サーバー担当 | サーバー、サーバーセパレート、バックアップ、ディスクなど |
| ネットワーク担当 | ロードバランサー、プライベートLAN、ルーター、拠点間VPNゲートウェイなど |
| DB担当 | DBサーバー、DBスナップショット、DBファイアウォール、イベント通知など |
4. 作成手順
ユースケースにそってアカウントを用意します。
4-1. ユースケース1のユーザーを作成する
ユースケース1の閲覧のみ実施するユーザーを作成していきます。
4-1-1. アカウント管理画面を表示
管理者アカウントでログインし、「アカウントメニュー」から「アカウント管理」を選択します。
4-1-2. 子アカウントの作成
アカウント管理画面を表示した後、「アカウント作成」ボタンを押します。
4-1-3. 子アカウント情報を入力
アカウント作成画面が表示され、「01 基本設定」タブが表示されます。
「アカウント名」「パスワード」項目の入力と「権限」項目の選択が必要です。
「権限」項目は3つの権限(管理者権限、閲覧権限、運用者権限)から選択することができます。
ユースケース1で作成するユーザーは、以下表の通り入力してください。
| 項目 | 入力値 |
|---|---|
| アカウント名 | ma-readonly |
| パスワード | <自由入力> |
| メモ | 閲覧のみ |
| 権限 | 閲覧権限 |
入力に間違がなければ、右下の「確認へ」を押します。
4-1-4. 入力した子アカウント情報の確認
アカウント作成画面の「02 確認」タブが表示され、入力した値が確認できます。入力に間違がなければ、右下の「作成する」を押して、作成終了です。
4-2. ユースケース2のユーザーを作成する
ユースケース2のユーザーを作成します。
パラメーターを変更して、4-1.ユースケース1の手順4-1-2.~4-1-4.を再度実施します。
手順4-1-3.で利用するパラメーターは下記表を参照してください。
| 項目 | 入力値 |
|---|---|
| アカウント名 | ma-operteam |
| パスワード | <自由入力> |
| メモ | 運用操作、閲覧 |
| 権限 | 運用者権限 |
4-3. ユースケース3のユーザーを作成する
ユースケース3の各担当ユーザーを作成します。
4-3-1. ユーザーを閲覧権限で一通り作成する
個別に操作権を与えるには、まず閲覧権限で作成し、後から必要な権限を追加します。
まずは、4-1.ユースケース1の手順4-1-2.~4-1-4.を実施し、それぞれの担当者用ユーザーを閲覧権限のみで作成していきます。
手順4-1-3.で利用するパラメーターは下記表を参照してください。
| 項目 | 値(サーバー担当) | 値(ネットワーク担当) | 値(DB担当) |
|---|---|---|---|
| アカウント名 | ma-srvteam | ma-nwteam | ma-dbteam |
| パスワード | <自由入力> | <自由入力> | <自由入力> |
| メモ | サーバー担当 | ネットワーク担当 | DB担当 |
| 権限 | 閲覧権限 | 閲覧権限 | 閲覧権限 |
4-3-2. 許可操作の追加
各担当ユーザーへ、許可操作を追加していきます。
4-3-2-1 サーバー担当の選択
サーバー担当に許可操作を追加していきます。
「アカウントメニュー」から「アカウント管理」を選択し、「アカウント管理」画面で許可追加設定を行う「ma-srvteam」アカウントをチェックします。
「選択したアカウントの操作」リストから「許可操作追加」を選択します。
4-3-2-2. 許可操作の追加
許可操作追加画面の「01 基本設定」タブが表示されます。
「ポリシー名」の項目に適切な名前を入力します。
サーバー担当に必要な操作は、マルチアカウント 権限比較表の以下に属する操作にチェックを入れて、操作を許可していきます。
- サーバー
- サーバーセパレート
- バックアップ
- ディスク
- オートスケール
- ワンデイスナップショット
- スタンダードイメージ
- プライベートイメージ
- パブリックイメージ
- ISOイメージ
- SSHキー
- 付替IPアドレス
- マルチIPアドレス
- 追加NIC
- ファイアウォール
必要なチェックをすべて入れたら、ページの一番下にある「確認へ」を押します。実際に作成される場合は、以下から必要な作業と照らし合わせて、ご検討ください。
マルチアカウント 権限比較表
マルチアカウント 権限比較表(エンジニアリングパーツ)
4-3-2-3. 追加した許可操作の確認
許可操作追加画面の「02 確認」タブが表示されます。手順2.で付与した権限の確認ができます。入力に間違いがなければ、右下の「追加する」を押して、追加終了です。
4-3-2-4. ネットワーク担当に許可操作を追加する
ネットワーク担当に許可操作を追加していきます。
サーバー担当に許可操作を追加した手順を参考に、手順4-3-2-1にて「ma-nwteam」アカウントを選択し、手順4-3-2-2. 「許可操作の追加」を下記パラメーターにて実施します。
手順4-3-2-2.で設定する権限はマルチアカウント 権限比較表の以下に属する操作にチェックを入れて、操作を許可していきます。
- ロードバランサー
- マルチロードバランサー
- プライベートLAN
- ルーター
- 拠点間VPNゲートウェイ
- カスタマーゲートウェイ
- リモートアクセスVPNゲートウェイ
4-3-2-5. DB担当に許可操作を追加する
DB担当に許可操作を追加していきます。
サーバー担当に許可操作を追加した手順を参考に、手順4-3-2-1にて「ma-dbteam」アカウントを選択し、手順4-3-2-2. 「許可操作の追加」を下記パラメーターにて実施します。
手順4-3-2-2.で設定する権限はマルチアカウント 権限比較表(エンジニアリングパーツ)のRDBの項目に属する権限すべての操作にチェックを入れて、操作を許可していきます。
必要なチェックをすべて入れたら、ページの一番下にある「確認へ」を押します。
以上で必要なアカウントの準備ができました。
補足
・権限名とポリシー名ごとに設定した操作の一覧は、アカウント管理画面で、アカウント名の「許可操作」タブを開くと参照できます。
5. 操作確認
複雑な権限を設定したユースケース3のユーザーについて、どのような動作になるか確認していきます。
5-1. 子アカウントのログイン方法
作成した子アカウントが設定どおりに操作できるのかを確認します。
5-1-1. 子アカウントのログインURL確認
管理者アカウントでログインします。
「アカウントメニュー」から「アカウント管理」を選択します。
「アカウント管理」画面で、確認したい子アカウントのアカウント名の左にある「 v 」を押します。タブが表示されるので「基本情報」タブを確認します。
「ログインURL」に記載されているリンクがログイン画面のURLなります。
5-1-2. 子アカウントでログインする
1. で確認したログインURLをブラウザで開くと、子アカウント用のログイン画面が表示されます。
ログインしたい子アカウントの「アカウント名」「パスワード」を入力してログインします。
5-2. サーバー担当ユーザーでの操作確認
サーバー担当ユーザーは、サーバー管理に必要な操作を許可しています。
それ以外のネットワーク系、DB系の操作は、許可権限がないため閲覧のみできます。
実際に見てみます。
サーバー担当ユーザーでログインをした後、コンピューティング画面を表示します。
左メニューから「サーバー」画面を表示すると、「サーバー作成」ボタンは、問題なく操作ができます。
次にネットワーク画面を表示します。
「ネットワーク上の操作」のリストを開いてみると、操作権限のある「サーバー作成」は選択可能ですが、それ以外のネットワークの操作がグレーアウトして選択ができません。
続いて左メニューから「マルチロードバランサー」画面を表示します。
「マルチロードバランサー作成」ボタンはグレーアウトして操作ができません。
ネットワーク関連の操作は許可していないため、どの画面でも作成、変更を伴う作業が無効化されていることが確認できます。
DB系の操作も確認してみます。
RDB画面を表示すると、「ダッシュボード」画面が開きます。
DB関連の操作も許可していないため、作成、変更を伴う作業が無効化されていることが確認できます。
5-3. ネットワーク担当ユーザーでの操作確認
ネットワーク担当ユーザーは、ネットワーク管理に必要な操作を許可しています。
それ以外のサーバー系、DB系の操作は、許可権限がないため閲覧のみできます。
ネットワーク担当ユーザーでログインをした後、ネットワーク画面を表示します。
「ネットワーク上の操作」のリストを開いてみると、操作権限のあるネットワークの操作は選択可能ですが、「サーバー作成」だけはグレーアウトして操作が選択できないようになっています。
次にサーバー画面を表示します。
ここでも「サーバー作成」ボタンはグレーアウトして操作ができません。
同様にDB系の操作も確認してみます。
RDB画面を表示すると、「ダッシュボード」画面が開きます。
「DBサーバーを作成する」ボタンはグレーアウトして操作ができません。
サーバー関連、DB関連の操作は許可していないため、作成、変更を伴う作業が無効化されていることが確認できます。
5-4. DB担当ユーザーでの操作確認
DB担当ユーザーは、DB管理に必要な操作を許可しています。
それ以外のサーバー系、ネットワーク系の操作は、許可権限がないため閲覧のみできます。
DB担当ユーザーでログインをした後、RDB画面を表示します。
「RDB」画面が表示され、「DBサーバーを作成する」ボタンを操作することができます。
次にネットワーク画面を表示します。
「ネットワーク上の操作」のリストを開いてみると、「サーバー作成」もネットワークの操作もグレーアウトして選択できないようになっています。
サーバー関連、ネットワーク関連の操作は許可していないため、作成、変更を伴う作業が無効化されていることが確認できます。
上記は一部の確認結果ですが、もし時間がありましたら、他のユースケース向けで作成したユーザーでもログインをして試してみてください。
許可した権限によって、可能な操作、不可能な操作を実際に確認していただくと、より理解が深まると思います。
管理者アカウントと比較して確認していただくこともお勧めします。
6. まとめ
今回はFJcloud-Vのマルチアカウント機能の使い方について、ユースケースを用いて紹介しました。
作成から操作の許可権限を追加することで、子アカウントごとに操作を制限することが確認できました。
マルチアカウントのメリットを生かし、実際の職場環境や作業形態などに合わせて、必要なアカウントを検討する際の参考になれば幸いです。
7. 注意事項
- 本記事で記載した各サービス/FJcloud-Vの機能等は、2024年10月時点の情報です。ご利用の際は、各サービスの最新情報をご確認ください。
- 本記事については検証結果の一つとなります。実際に構成を検討されるときは、それぞれの要件を鑑みて十分に検証を実施してください。
