クラウド管理者として、ユーザーが VMware Aria Automation で実行できるタスクを制御するとします。管理目標とアプリケーション開発チームの責任に応じて、その目標に適したユーザー ロールを設定する方法は異なります。
次の Automation Assembler と Automation Service Broker の例は、3 つの使用事例に基づいています。これらの例は、ユーザー ロールの利用方法を示すために十分な指示のみを提供しています。
これらの使用事例の対象者は、クラウド管理者(クラウド管理者とも見なされる)とサービス管理者です。
使用事例は、互いに関連付けて利用するように組み立てられています。使用事例 3 に直接進む準備ができている場合は、指定された方法でロールを設定する理由について十分に理解するために使用事例 1 と 2 を確認することをお勧めします。
使用事例の目的はユーザー ロールのデモであり、インフラストラクチャの設定、プロジェクトの管理、クラウド テンプレートの作成、展開の操作に関して詳細な情報を提供することではありません。
開始する前に、VMware Aria Automation コンソールでクラウド管理者が設定したユーザー ロールのレベルを理解しておく必要があります。
- 組織ロール
組織ロールは、コンソールにアクセスできるユーザーを制御します。
組織の所有者は、すべてのサービスのすべてのユーザーに、少なくとも組織メンバー ロールを確実に割り当てる必要があります。
ロール 説明 組織の所有者 管理者は、ユーザーの追加、ユーザーのロールの変更、組織からのユーザーの削除を実行できます。所有者は、どのユーザーがサービスにアクセスできるかを管理します。 組織のメンバー 一般的なユーザーは、組織コンソールにログインできます。サービスにアクセスするには、組織の所有者がユーザーにサービス ロールを割り当てる必要があります。 - サービス ロール
サービス ロールは、割り当てられたサービスにアクセスできるユーザーを制御します。
組織の所有者は、サービスにアクセスする必要があるユーザーに適切なロールが確実に割り当てられるようにする必要があります。ロールを使用して、各サービスでユーザーがどのレベルの操作を実行できるか制御します。
表 1. Automation Assembler サービス ロールの説明 ロール 説明 Assembler 管理者 ユーザー インターフェイスと API リソース全体に対する読み取りおよび書き込みアクセス権を持っているユーザー。これは、クラウド アカウントの追加、新しいプロジェクトの作成、プロジェクト管理者の割り当てなど、すべてを表示および操作できる唯一のユーザー ロールです。 Assembler ユーザー Assembler 管理者ロールを持たないユーザー。 Automation Assembler プロジェクトでは、管理者がユーザーをプロジェクト メンバー、管理者、または閲覧者としてプロジェクトに追加します。管理者は、プロジェクト管理者を追加することもできます。
Assembler 閲覧者 情報を表示するための読み取りアクセス権は持っているが、作成、更新、削除はできないユーザー。これは、すべてのサービスのすべてのプロジェクトにわたる読み取り専用ロールです。 閲覧者ロールを持つユーザーは、管理者が使用できるすべての情報を表示できます。これらのユーザーは、プロジェクト管理者またはプロジェクト メンバーにされない限り、アクションを実行することはできません。プロジェクトに関連しているユーザーは、そのロールに関連する権限を持ちます。プロジェクト閲覧者は、管理者ロールまたはメンバー ロールとは異なり、権限が拡張されることはありません。
表 2. Service Broker サービス ロールの説明 ロール 説明 Service Broker 管理者 ユーザー インターフェイスと API リソース全体に対する読み取りおよび書き込みアクセス権が必要です。これは、新しいプロジェクトの作成やプロジェクト管理者の割り当てなど、すべてのタスクを実行できる唯一のユーザー ロールです。 Service Broker ユーザー Automation Service Broker 管理者ロールを持たないすべてのユーザー。 Automation Service Broker プロジェクトでは、管理者がユーザーをプロジェクト メンバー、管理者、または閲覧者としてプロジェクトに追加します。管理者は、プロジェクト管理者を追加することもできます。
Service Broker 閲覧者 情報を表示するための読み取りアクセス権は持っているが、作成、更新、削除はできないユーザー。これは、すべてのサービスのすべてのプロジェクトにわたる読み取り専用ロールです。 閲覧者ロールを持つユーザーは、管理者が使用できるすべての情報を表示できます。これらのユーザーは、プロジェクト管理者またはプロジェクト メンバーにされない限り、アクションを実行することはできません。プロジェクトに関連しているユーザーは、そのロールに関連する権限を持ちます。プロジェクト閲覧者は、管理者ロールまたはメンバー ロールとは異なり、権限が拡張されることはありません。
表 3. Pipelines のサービス ロールの説明 ロール 説明 Pipelines 管理者 ユーザー インターフェイスと API リソース全体に対する読み取りおよび書き込みアクセス権を持っているユーザー。これは、すべてを表示および実行できる唯一のユーザー ロールであり、具体的には、プロジェクトの作成、エンドポイントの統合、トリガの追加、パイプラインとカスタム ダッシュボードの作成、エンドポイントおよび変数に対する制限付きリソースとしてのマーキング、制限付きリソースを使用するパイプラインの実行、パイプラインを Automation Service Broker で公開する申請が可能です。 Pipelines 開発者 パイプラインを使用できるが制限付きのエンドポイントまたは変数は使用できないユーザー。パイプラインに制限付きのエンドポイントまたは変数が含まれている場合、このユーザーは、制限付きのエンドポイントまたは変数を使用するパイプライン タスクに関する承認を得る必要があります。 Pipelines 実行者 パイプラインを実行でき、ユーザー操作タスクの承認または拒否を行うことができるユーザー。このユーザーは、パイプラインの実行を再開、一時停止、およびキャンセルできますが、パイプラインを変更することはできません。 Pipelines ユーザー Automation Pipelines にアクセスできるが、Automation Pipelines 内のそれ以外の権限を持たないユーザー。 Pipelines 閲覧者 パイプライン、エンドポイント、パイプラインの実行、ダッシュボードを表示するための読み取りアクセス権を持ち、作成、更新、削除することはできないユーザー。サービス閲覧者ロールも持つユーザーは、管理者が使用できるすべての情報を表示できます。これらのユーザーは、プロジェクト管理者またはプロジェクト メンバーにされない限り、アクションを実行することはできません。プロジェクトに関連しているユーザーは、そのロールに関連する権限を持ちます。プロジェクト閲覧者は、管理者ロールまたはメンバー ロールとは異なり、権限が拡張されることはありません。 - プロジェクト メンバーシップのロール
プロジェクト メンバーシップによって、使用可能なインフラストラクチャ リソースとクラウド テンプレートが決まります。
プロジェクト メンバーシップは、サービス管理者ロールを持つユーザーによってサービス内で定義されます。サービス管理者は、1 つまたは複数のプロジェクトへのアクセスを必要とするユーザーに、各プロジェクトで適切なプロジェクト ロールが確実に割り当てられるようにする必要があります。
表 4. プロジェクト ロール ロール 説明 プロジェクト管理者 プロジェクト管理者は、自分のプロジェクトの管理、プロジェクトに関連付けられているクラウド テンプレートの作成と展開、およびすべてのプロジェクト メンバーのプロジェクト展開の管理を実行できます。 プロジェクト メンバー プロジェクト メンバーは、プロジェクトに関連付けられているクラウド テンプレートの作成と展開、自分の展開の管理、およびすべての共有展開の管理を実行できます。 プロジェクト閲覧者 プロジェクト閲覧者は、プロジェクトのリソース、クラウド テンプレート、および展開に対する読み取り専用アクセス権を持つプロジェクト メンバーです。 - カスタム ロール
Automation Assembler によってカスタム ロールを作成すると、メンバーおよび閲覧者のロールを細かく調整することができます。
これらの使用事例で示されている手順は、ユーザー ロールに着目することを目的としています。VMware Aria Automation を設定するための詳細で厳密な手順ではありません。
ロールを構成する際は、API 操作を実行しているユーザーにもここで割り当てるロールが適用されることに注意してください。
前提条件
- 組織の所有者ロールが割り当てられていることを確認します。コンソールにログインすると、[ID とアクセスの管理] タブが表示されます。表示されない場合は、組織の所有者にお問い合わせください。
- 各種サービスのサービス管理者ロールを持っていることを確認してください。自分のロールが不明な場合は、組織の所有者にお問い合わせください。
- ユーザーが VMware Aria Automation に追加されていることを確認します。
これらのユーザーも必要に応じて追加します。
- さまざまなロールのタスクおよびロールの詳細なリストについては、vRealize Automation の組織およびサービスのユーザー ロールを参照してください。