従来の組織の管理
組織、ユーザー、およびロール
組織とは
組織によって、お客様は VMware Aria Cost powered by CloudHealth コンソールでユーザーが使用できるデータの可視性を制限できるようになります。組織を使用すると、複数の関係者に VMware Aria Cost へのアクセス権を付与しながら、見られたくないデータにはアクセスできないようにする(例:マーケティング部門にはマーケティングの代わりに実行されているインフラストラクチャのみを表示する)ことができます。
組織を作成するには、表示するデータを含む 1 つ以上のアカウントに関連付けます。これらのアカウントには、クラウド アカウント(AWS など)と、VMware Aria Cost に統合した追加の製品およびサービスのアカウント(Chef など)の両方を含めることができます。組織間でデータが重複することがあります(たとえば、エンジニアリング組織と DevOps 組織の両方が共通のアカウント セットにアクセスする可能性があります)。
デフォルトでは、各企業にデフォルトの組織が 1 つあり、そこにはすべてのアカウントとそれに対応する資産が含まれています。これはグローバル組織ともいいます。この組織に割り当てられれば、表示できるデータに制限がなくなるためです。管理者ユーザーは追加の組織を必要なだけ作成できます。
ユーザーとは
ユーザーとは、VMware Aria Cost コンソールにアクセスできる個人のことです。ユーザーがコンソールにアクセスするためには、認証される必要があります。VMware Aria Cost を使用して認証を管理するには、次の 2 つのアプローチがあります。
- ID プロバイダとしての VMware Aria Cost:VMware Aria Cost にログインするためのデフォルトのアプローチは、サービスに含まれている組み込み認証プロバイダを使用することです。これには、各ユーザーがメール アドレスとパスワードを使用してログインすることと、すべてのユーザーとロールが VMware Aria Cost コンソール内から管理されることが要求されます。
- 外部 ID プロバイダ:多くのお客様は、社内アプリケーションにログインするのに外部 ID プロバイダ(Google、Active Directory Federation Service など)を利用します。VMware Aria Cost では多くの一般的な ID プロバイダ(Google Apps や Azure Active Directory など)との統合により、当社コンソールへのシングル サインオン (SSO) を許可します。外部 ID プロバイダを使用している場合、お客様には、特定のロールによる VMware Aria Cost へのアクセスをユーザーに付与するディレクトリ内のグループを管理する責任があります。
組織の機能は、ユーザーの認証が外部と VMware Aria Cost のいずれの ID プロバイダ経由であっても同じです。ただし、組織の管理は、この 2 つの認証アプローチによって異なる場合があります。
ロールとは
VMware Aria Cost には、次の 3 つのデフォルト ロールがあります。
- 管理者:管理者にはすべてのデータに対するすべてのアクセス権があります。
- パワー ユーザー:パワー ユーザーは、組織およびユーザーを作成、編集、削除する能力を除いて、管理者が利用できるすべての操作を実行できます。
- 標準:標準ユーザーは、VMware Aria Cost 内のデータの表示はできますが、編集や削除はできません。
ロールは、通常、コンソールにユーザーとして招待されるときに割り当てられます。VMware Aria Cost 認証を使用している場合は、ユーザー レポートで [ユーザーの招待] ボタンをクリックすることによってユーザーを招待できます。シングル サインオンに外部 ID プロバイダ(Google など)を使用している場合は、ディレクトリ内の該当のグループにユーザーを追加することで、ユーザーを追加できます。
デフォルトのロールに加え、必要なアクセス権のみをユーザーに付与する独自のカスタム ロールを作成することもできます。組織とロールを組み合わせることで、ユーザーに表示されるデータとそのデータに対して実行できるアクションの両方を制限できます。
VMware Aria Cost では、ユーザーが持つことができるロールは 1 つのみです。ただし、ロールは適切な権限を持つユーザーが変更することができます。
ユーザー、組織、およびロールを管理する方法
VMware Aria Cost のユーザー、組織、およびロールを割り当てる方法について説明します。
ユーザーには、ロール(パワー ユーザーなど)と組織(エンジニアリングなど)の両方が割り当てられます。VMware Aria Cost 認証を使用している場合、この割り当ては VMware Aria Cost で管理者のロールを持つユーザーのみが実行できます。シングル サインオン(Google など)に外部 ID プロバイダを使用している場合、これは内部ディレクトリに変更を加えることで実行できます。
1 人のユーザーは 1 つの組織のみに割り当てることができます。
ユーザー定義コンテンツ
VMware Aria Cost コンソール内での作業中に、ユーザーは、パースペクティブの作成、レポートの保存、見積もりの作成などのコンテンツを頻繁に作成します。このドキュメントでは、このコンテンツをユーザー定義コンテンツと呼ぶことにします。すべてのユーザー定義コンテンツは、それが作成された組織に存在し、その組織にいるユーザー(または管理者)のみがこのコンテンツを表示できます。
ユーザーをある組織から別の組織に移動すると、以前の組織で作成したユーザー定義コンテンツにアクセスできなくなります。たとえば、ユーザー Sly がエンジニアリング組織で 2 つの RI オプティマイザの見積もりを作成し、5 つのレポートを保存していた場合、そのユーザーが DevOps 組織に移動してしまうと、これらの見積もり/レポートにアクセスできなくなります。ただし、ユーザーのパブリック コンテンツ(保存済みのレポート、RI オプティマイザの見積もりなど)は削除されないため、エンジニアリング組織のすべてのユーザーが引き続き使用できます。
ユーザーのプライベートの保存済みレポートは、そのユーザーが新しい組織に移動すると削除されます。
また、現在特別な特性を持つ 3 種類のユーザー定義コンテンツがあることに注意することも重要です。
- アカウント:すべての統合 (Amazon、Google、Chef など) のアカウントは組織内に存在せず、VMware Aria Cost 管理者ロールを持つユーザーのみが追加、編集、削除できます。
- ユーザー: ユーザーは組織には存在せず、管理者のみが追加、編集、削除できます。
ID プロバイダを使用している場合は VMware Aria Cost、または外部プロバイダを使用している場合はディレクトリ。
- パースペクティブ:パースペクティブはすべての組織にわたって表示されますが、作成、編集、または削除できるのはデフォルトのグローバル組織からのみです。パースペクティブは、このデフォルトのグローバル組織の任意の管理者またはパワー ユーザーが管理できます。
組織の例
組織を説明するために、Amazon と Chef を使用してインフラストラクチャを管理している会社の簡単な例を使用します。彼らは 3 つの AWS アカウントを持ち、それぞれが異なるタイプのインフラストラクチャに使用され、単一の内部プライベート Chef サーバを使用してこのすべてのインフラストラクチャを管理します。彼らは、社内の 3 つの異なるグループ(エンジニアリング、運用、品質保証)へのアクセスを提供したいと考えていますが、各ユーザーが職務に必要なデータにのみアクセスできるようにしたいです。
以下は、3 つの提案された組織を構成する方法を示すサンプルの表です。
「すべて」組織は、すべてのユーザーが利用できるデフォルトのグローバル組織を表します。
| 組織 | AWS アカウント #1(生産) | AWS アカウント #2(品質保証) | AWS アカウント #3(開発) | Chef アカウント #1(すべて) |
|---|---|---|---|---|
| すべて | ✓ | ✓ | ✓ | ✓ |
| 開発 | ✓ | |||
| 品質保証 | ✓ | |||
| DevOps | ✓ | ✓ | ✓ | ✓ |
組織が作成されたら、会社は特定のロールと組織をユーザーに割り当てることができます。たとえば、次の表は、社内のさまざまなユーザーへの役割と組織の割り当てを示しています。VMware Aria Cost 管理者として、Joe はコンソール内のすべてに完全にアクセスできます。ただし、Andi は開発インフラストラクチャのみを対象として、また、Thespina は品質保証のみを対象として作業に従事する必要があります。
| ユーザー | ロール | 組織 |
|---|---|---|
| Joe | 管理者 | すべて |
| Andi | パワー ユーザー | 開発 |
| Thespina | パワー ユーザー | 品質保証 |
| Vikram | パワー ユーザー | DevOps |
| Melodye | 標準ユーザー | DevOps |
組織の使用
このセクションでは、組織の使い方を説明します。
組織の作成
組織を作成するには、[セットアップ] メニューに移動し、管理 メニュー項目をクリックし、組織 を選択します。
組織を作成できるのは、管理者ロールを持つユーザーだけです。
新しい組織 ボタンをクリックして最初の組織を作成し、名前と説明を入力します。この名前は、組織を管理するときに製品全体に表示されます。操作が完了したら、次へ をクリックして続行します。
アカウントの割り当て
組織内でアクセス可能なデータは、それに関連付けるアカウントによって定義されます。任意のタイプのアカウント(Amazon アカウント、Chef アカウントなど)から選択できます。アカウントを追加するには、アカウント タイプ セレクタからアカウントのタイプを選択し、[追加] ボタンを使用してこれらのアカウントを組織に追加します。
組織の定義を完全に柔軟にするために、アカウントを複数の組織に関連付けることができます(たとえば、特定の AWS アカウントを DevOps とエンジニアリング組織の両方に割り当てることができます)。
組織の追加が完了したら、次へ をクリックします。
ユーザーの割り当て
これで、この組織で使用するユーザーを選択できるようになりました。 左側のパネルには、すべてのユーザーと現在割り当てられている組織のリストが表示されます(ユーザーは 1 つの組織にのみ所属できます)。右側のパネルには、新しく作成された組織に割り当てるユーザーのリストが表示されます。この組織に適切なユーザーを割り当てたら、次へ をクリックします。
変更の確認
ユーザーを追加した後、VMware Aria Cost は、提案されたユーザーを既存の組織から新しい組織に移動することに問題がないことを確認します。ユーザー定義コンテンツ(RI オプティマイザの見積もり、保存済みレポートなど)を作成したユーザーの組織を変更する場合、そのユーザーは新しい組織に移動するとこのコンテンツにアクセスできなくなります。コンテンツは削除されないため、前の組織のユーザーは引き続きアクセスできます。
ユーザーのプライベートの保存済みレポートは、そのユーザーが新しい組織に移動すると削除されます。
提案されたユーザーの移動によってユーザー定義コンテンツが影響を受けない場合は、問題がないことが通知され、提案された変更を確認するように求められます。変更を続行することを確認し、組織の作成 をクリックします。
移動に問題がある場合は、各ユーザーの影響を受けるコンテンツが通知されます。使用できるオプションは、変更を加える(たとえば、ユーザーをこの組織に移動しない)ためのオプション、または問題を受け入れて組織の作成を完了するためのオプションのいずれかになります。前述のように、ユーザー定義コンテンツ(保存済みレポートなど)は、ユーザーを別の組織に移動しても削除されず、作成された組織に残ります。
問題を受け入れて続行するには、チェック ボックスをクリックして 組織の作成 をクリックします。
組織の切り替え
管理者ユーザーは、VMware Aria Cost プラットフォームの左下隅にある組織スイッチャーを使用して、使用可能なすべての組織を切り替えることができます。
デフォルトでは、組織スイッチャーは管理者ロールにのみ有効になっています。ただし、組織の切り替え 権限を持つ管理者ロールからコピーされたカスタム ロールは、組織を変更できます。この機能は、パワー ユーザーには無効になっています。
カスタム ロールの組織スイッチャーを有効にするには、次の手順を実行します。
- セットアップ > 管理 > ロール の順に移動し、ロール名の横にある編集アイコンをクリックします。
- 権限 セクションで、セットアップ > ユーザー > 組織の切り替え の順に下にスクロールします。
- 切り替えスイッチをクリックして、この機能を有効にします。
使用可能な組織のリストからの組織に切り替えると、すべてのレポートがすぐに更新され、選択した組織のユーザーが利用できる情報のみが表示されます。
カスタム ロールの作成
VMware Aria Cost で提供される 3 つのデフォルトのロールは通常、お客様の多くの一般的なニーズをカバーしますが、VMware Aria Cost コンソール内でユーザーが実行できる対象についてより細かく制御する必要がある場合があります。これに対するソリューションは VMware Aria Cost ロールです。これは、ユーザーに詳細な権限を付与または拒否する機能を提供します。
カスタム ロールを作成するには、[セットアップ] メニューに移動し、[管理] メニュー項目をクリックし、ロール を選択します。
[新しいロール] をクリックして新しいロールを作成し、ロールの名前と説明を入力します。名前は一意である必要があります。次に、このロールに割り当てる特定の権限または権限グループを選択できます。
権限の割り当てが完了したら、[保存] をクリックします。 これで、このロールをユーザーに割り当てることができます。これにより、VMware Aria Cost コンソールでユーザーに表示されるメニュー項目と、ユーザーが実行できるアクションが制限されます。
現在の権限を引き継ぐことで追加のロールをより簡単に作成するために、既存のロールをコピーするオプションもあります。これを行うには、[ロール] ページで コピー をクリックします。
新しいロールの名前と説明を入力し、コピーの作成 をクリックします。
[権限] ページで、引き続き、条件に合わせてロールを定義できます。権限の割り当てが完了したら、[保存] をクリックします。
組織の構成(オプション)
ユーザーがアクセスできるアカウントとデータを決定するために組織を構成します
組織は、ユーザーがアクセスできるアカウントとデータを決定します。作成する組織の数とそれらの組織の構成方法を計画します。組織の計画の詳細については、「組織、ユーザー、ロールとは」のトピックを参照してください。VMware Aria Cost では、ユーザーにアクセス権を提供する必要があるデータのサブセットごとに組織を作成することをお勧めします。
- VMware Aria Cost で、セットアップ > 管理 > 組織 の順に移動します。
- 新しい組織 を選択します。
- 組織の名前と説明を入力し、次へ をクリックします。シングル サインオンを介して VMware Aria Cost にユーザーを招待する場合、組織名はプリフィックス
chtorgで始める必要があります(たとえば、chtorg CloudHealth)。 - 組織に割り当てるアカウントを選択し、追加 をクリックします。次へ をクリックします。
- 後の手順でユーザーを追加するため、次へ をクリックしてユーザーの追加をスキップします。
- 変更が正しいことを確認しました チェックボックスをオンにして、組織を作成 をクリックします。
- すべての組織に対して手順 2 ~ 6 を繰り返します。
カスタム ロールの作成(オプション)
デフォルト ロールに含まれていない権限の組み合わせを割り当てるためのカスタム ロールを作成します
VMware Aria Cost には、ユーザーに割り当てることができるデフォルトの 3 つのロールがあります。
- 標準ユーザー:読み取り専用権限
- パワー ユーザー:ユーザーと組織の管理を除き、完全な読み取り、編集、作成の権限
- 管理者:完全な読み取り、編集、作成の権限
デフォルトのロールに含まれていない権限の組み合わせを割り当てるには、カスタム ロールを作成します。
- VMware Aria Cost プラットフォームにログインし、セットアップ > 管理 > ロール の順に移動します。
- 新しいロール を選択します。
- [詳細] ペインで、カスタム ロールの名前と説明を入力します。
- [権限] ペインで、必要に応じてトグルを切り替えてロール権限を有効または無効にします。
- 保存 をクリックします。
[ロール] ページで コピー アイコンを選択して、コピーを名前変更および修正して、デフォルトのロールをコピーすることもできます。
VMware Aria Cost プラットフォームを介した VMware Aria Cost へのユーザーの招待
組織内のユーザーを VMware Aria Cost プラットフォームに招待します。
ユーザーの招待
- VMware Aria Cost プラットフォームで セットアップ > 管理 > ユーザー の順に移動します。
- ユーザーの招待 を選択します。
- ユーザーの名前と E メールを入力し、ドロップダウンからユーザーのロールを選択します。
- ユーザーを招待 をクリックします。
- すべてのユーザーとクラウドについて、手順 2 ~ 4 を繰り返します。
組織へのユーザーの追加
- セットアップ > 管理 > 組織 に移動します。
- 組織を編集します。
- ユーザー タブで、組織に割り当てるユーザーを選択して 追加 をクリックします。検索バーを使用すると、ユーザーをキーワードで素早く見つけることができます。
- 変更の確認 をクリックして、変更内容が正しいことを確認しました チェックボックスを選択します。ユーザーの保存 をクリックします。
- すべての組織について、手順 7 ~ 9 を繰り返します。
シングル サインオンを介した VMware Aria Cost へのユーザーの招待
SAML SSO プロバイダを使用して VMware Aria Cost プラットフォームへのユーザーのアクセスを認証します。
VMware Aria Cost をシングル サインオン (SSO) ID プロバイダ (IDP) アサーションに接続します。完了すると、IDP を使用しない限りユーザーを VMware Aria Cost に招待できないようになります。IDP の構成の詳細については、「SAML SSO」のトピックを参照してください。
それぞれの IDP は、同じ概念を表現するのに異なる用語を使用しています。たとえば、VMware Aria Cost のロールは、Google サインインではグループと呼ばれています。
VMware Aria Cost による IDP の構成
VMware Aria Cost に接続するため、次の情報を IDP に提供します。
- 対象ユーザー URI:
urn:auth0:cloudhealthtech:company-com - SSO コールバック:
https://cloudhealthtech.auth0.com/login/callback?connection=company-com
company-com をドメインに置き換えます(google-com など)。
ロールによる IDP の構成
roles 属性を使用して、VMware Aria Cost ロールを IDP アサーションに追加します。
デフォルト ロール
デフォルトの VMware Aria Cost ロールでは、次の属性値(大文字と小文字の区別あり)が使用されます。
| ロールの属性値 | VMware Aria Cost のロール |
|---|---|
cloudhealth-administrator |
管理者 |
cloudhealth-power |
パワー ユーザー |
cloudhealth-standard |
標準ユーザー |
カスタム ロール
カスタム ロールを作成した場合は、カスタム ロールの IDP 名をロール属性値として使用します。
カスタム ロールの属性値を確認するには、次のようにします。
- セットアップ > 管理 > ロール に移動します。
- カスタム ロールの ビュー アイコンをクリックします。
- [詳細] ペインで、IDP 名 フィールドを見つけます。
VMware Aria Cost へのお問い合わせ
VMware Aria Cost で IDP を構成するために VMware Aria Cost との連絡スケジュールを設定します。IDP から提供される次の情報を VMware Aria Cost サポートに提供します。
- エンドポイント URL
- X.509 証明書(.pem 形式)
組織の割り当て
ユーザーを含む組織を構成します。次の 3 つの方法のいずれかを使用して、ユーザーを組織に割り当てることができます。
- デフォルト組織へのユーザーの割り当て:組織が 1 つしかない場合や、ほとんどのユーザーを 1 つの組織に割り当てる必要がある場合に使用します。
- VMware Aria Cost による組織の割り当て:VMware Aria Cost プラットフォームで組織を管理ことが望ましい場合に使用します。
- IDP による組織の割り当て:自社の IDP アサーションを使用して組織を管理することが望ましい場合に使用します。
デフォルト組織へのユーザーの割り当て
- VMware Aria Cost で、セットアップ > 管理 > 設定 の順に移動します。
- Single Sign-On タブで、ドロップダウンからデフォルトの組織を選択します。
- 会社のプロファイルを更新 をクリックします。
VMware Aria Cost による組織の割り当て
- セットアップ > 管理 > 組織 に移動します。
- 組織を編集します。
- ユーザー タブで、組織に割り当てるユーザーを選択して 追加 をクリックします。
- 変更の確認 をクリックします。変更内容が正しいことを確認しました チェックボックスをオンにして、ユーザーの保存 をクリックします。
- すべての組織について手順 2 ~ 4 を繰り返します。
IDP による組織の割り当て
organization 属性を使用して、VMware Aria Cost の組織を IDP アサーションに追加します。一部の IDP (Azure Active Directory など) では、IDP 経由で組織を追加できないので注意してください。
IDP を使用して組織を割り当てるには、すべての組織 ID がプリフィックス
chtorg-で始まる必要があります。組織 ID がこのプリフィックスで始まるものではない場合は VMware Aria Cost サポートにお問い合わせください。
組織 ID を確認するには、次のようにします。
- セットアップ > 管理 > 組織 に移動します。
- 組織の 表示 アイコンをクリックします。
- [名前] タブで、IDP 名 フィールドを見つけます。
- すべての組織について手順 2 ~ 3 を繰り返します。
ユーザー セッションの期間の構成(任意)
デフォルトでは、VMware Aria Cost のユーザー セッションの期間は、ブラウザを閉じるまで です。デフォルトの期間を変更するには、次のようにします。
- VMware Aria Cost で、セットアップ > 管理 > 設定 の順に移動します。
- 顧客の編集 タブで、設定 ペインに移動します。
- ドロップダウン メニューからセッションの長さを選択します。
- 会社のプロファイルを更新 をクリックします。
管理のベスト プラクティス
ユーザー、組織、パースペクティブ、AWS リザーブド インスタンスを作成および管理する際のベスト プラクティスについて説明します。
組織を作成するタイミング
組織により、VMware Aria Cost ユーザーに対して、データ アクセスの範囲を制限します。社内の 1 人以上のユーザーが使用できるデータを制限するためには、組織を作成する必要があります。作成できる組織の数に制限はなく、また組織は高速で使いやすいです。ベスト プラクティスは、ユーザーに対してアクセスを提供する必要のあるデータのサブセットごとに一意の組織を作成することです。
パースペクティブの管理方法
パースペクティブは、デフォルトのグローバル組織内で管理者とパワー ユーザーによって作成され管理されますが、VMware Aria Cost 内のすべてのユーザーがアクセスできます。デフォルトのグローバル組織以外の組織を対象範囲とするユーザーは、パースペクティブを作成、編集、または削除できません。したがって、すべての組織のパースペクティブの管理を担当するユーザーが 1 人以上必要になります。
シングル サインオン (SSO) による組織の管理
VMware Aria Cost コンソールに対する認証に外部の ID プロバイダ(Google Apps など)を使用している場合、ユーザーのロールと組織を管理する責任があります。新しいユーザーを VMware Aria Cost コンソールに追加するには、ディレクトリ内の適切なデフォルト グループに追加します(下のスクリーンショットは、あるユーザーが VMware Aria Cost に Google SSO 経由でアクセスするユーザーを管理する Google Apps 内の Google Group を示しています)。
ユーザーが VMware Aria Cost コンソールに SSO 経由で最初にログインするときは、組織が割り当てられている必要があります。 SSO のデフォルト組織を指定するには、会社のプロファイルを編集します。
新しい SSO ユーザー用の最小権限の組織を作成してから、最初のログイン後に適切な組織に割り当てることをお勧めします。
組織間でのユーザーの移動
ユーザーが定義したコンテンツで、組織間でのユーザーの移動によって失われるのは、プライベート コンテンツ(BI レポート、予算、ポリシー、RI の見積もり、保存済みレポート)だけです。パブリック コンテンツはユーザーが後に別の組織に移動された場合でも、それが作成された組織に残ります。
ユーザーの移動によってコンテンツが失われるリスクはありません(ユーザーのプライベート データを除く)が、移動するユーザーと以前の組織のユーザーには何らかの名目的な影響があります。
例:複数のユーザーにアラートを送信するプライベート ポリシーが構成された場合、ユーザーが移動されると、そのポリシーは削除され、他の受信者はそのアラートを受信できなくなります。
ベスト プラクティスとして、VMware Aria Cost 管理者には、ユーザーに割り当てた組織を変更する前に、そのユーザーに事前に通知することをお勧めします。
AWS 予約済みインスタンスの管理
VMware Aria Cost の全機能(リザーブド インスタンスの購入、変更、レポート作成機能を含む)には、組織内のユーザーであればアクセスできます。組織は通常 AWS アカウントのサブセットで構成されているため、VMware Aria Cost 管理者は、組織内から予約を管理するのをユーザーに許可する際、慎重に検討する必要があります。
一括請求アカウントにリンクされているアカウント間で予約が「流動する」ため、請求ファミリ全体(一括請求アカウントとそれにリンクされているアカウントなど)を含まない組織内のユーザーには、インスタンスの使用時、すべてのアカウントのコンテキストで表示した場合に実際には存在しない予約が表示されることがあります。管理者は、請求ファミリ全体を含めて組織を構築するか、このリスクを受け入れるかを選択することになります。アクセス制御によって、ユーザーが組織内のこうした機能にアクセスする権限を制限することもできます。
VMware Aria Cost プラットフォームを使用する際のセキュリティのベスト プラクティス
VMware Aria Cost プラットフォームを使用する際に念頭に置くべきセキュリティと運用に関するベスト プラクティス
認証、承認、および監査
認証
ユーザー管理/SSO
SSO を使用してユーザーの認証と承認を行います。
API キー
VMware Aria Cost API キーは、ロールで定義された十分な権限を持つ顧客プラットフォーム ユーザーによって割り当てられ、生成されます。ユーザーがプラットフォームで有効になっている間は、API キーがアクティブになります。そのため、ユーザーが承認されなくなった場合(会社を退職した場合)、即時の終了とローテーションが必要になります。
SSO ユーザーとその API キーは、顧客の SSO IDP で終了または無効にされても、自動的に削除されないことに注意してください。API キーを使用してユーザーのユーザー管理機能を実行するのは、顧客の責任です。
ユーザーはセットアップ > 管理 > ユーザーで管理できます。
ログイン セッションの長さ
会社のセキュリティ設定に基づいて、デフォルトのユーザー セッションのタイムアウトを調整します。
セッションの長さは、1 時間から無制限(ブラウザが閉じるまで)に調整できます。セットアップ > 管理 > 設定でセッションの長さを指定します。
承認
ロール
VMware Aria Cost プラットフォームでは、ユーザーの権限を非常にきめ細かく管理できます。VMware Aria Cost は、デフォルトの管理ロールを制限して、ユーザーと権限の管理を担当する個人の数を少なくすることを推奨します。
ロールとカスタマイズの詳細については、VMware Aria Cost のドキュメントを参照してください。
組織
VMware Aria Cost プラットフォームは、組織構造に基づいて、企業のクラウド リソースへのアクセスと可視性をさらに制限するための組織を提供します。
監査
サポート リクエスト時にプラットフォーム ユーザー監査ログを使用できます
プラットフォーム データの収集
AWS アカウント
- AWS リソースへのアクセスを安全にプロビジョニングするには、IAM ロールのみを使用します。
- 収集される AWS アカウントで、外部 ID の適用が設定されていることを確認します。
- IAM ポリシーが、要求されたリソースのみに制限されていることを確認します。
エージェント
環境リスクに応じて、VMware Aria Cost はエージェントのインストール手順中にエージェントの自動更新機能を無効にするオプションを提供します。
一般的なベスト プラクティス
最新の連絡先情報を保持
VMware Aria Cost テクノロジーを使用して、正確なビジネス、技術、課金の連絡先情報を管理します。技術者の連絡先情報は、署名された顧客契約で特に明記されていない限り、機密性の高いセキュリティ通知および違反通知に使用されます。
ベスト プラクティスは、組織内の特定の個人に頼るのではなく、エイリアスまたはグループのメール アドレスを利用することです。
アカウント マネージャと連携して、VMware Aria Cost CRM プラットフォームでレコードが更新されていることを確認します。
プラットフォームのステータス
VMware Aria Cost テクノロジーは、ステータス ページを http://status.cloudhealthtech.com で公開し、維持しています。VMware Aria Cost プラットフォームの顧客には、関連するインシデントおよびプラットフォームの通知を定期購読することが推奨されます。
