管理者ロールの管理
このトピックには次のセクションが含まれます。
概要
ロールベースのアクセス制御(RBAC)により、組織は特権ユーザーアクセスを事前定義済み管理者ロールと特定データ資産に制限して、倫理的境界を作成し、プライバシーと制御を実現できます。RBACを使用すると、委任管理構造を実装して顧客の組織、コンプライアンス、セキュリティの要件を満たすこともできます。そのため組織はシームレスできめ細やかに拡張可能な管理者ロールを管理することで、効率的に目的を達成できます。
Phoenixでは、Phoenix管理コンソールの管理者を作成するための事前定義済み管理者ロールが提供されます。またクラウド管理者はPhoenixで既存の基本ロールを使用したカスタム管理者ロールを作成できます。定義済みおよびカスタムの管理者ロールにより、管理者はPhoenix管理コンソールで管理要素に効率的にアクセスして管理が行えます。
ロールは、管理者に割り当てられた権限に基づいて管理者が実行する一連のタスクを定義します。各ロールには一連の権限が含まれ、各権限には管理者がタスクを実行できるようにする一連の詳細なパーミッションが含まれます。Administrators メニューリストの Rolesタブに、事前定義済みロールとPhoenix管理コンソール上で作成したカスタムロールが一覧表示されます。ロール作成後、Phoenix管理者に割り当てができます。
Phoenixが提供する事前定義済み、基本、カスタムの各ロールの関係を以下の図に示します。
事前定義済み管理者ロール
Phoenixはデフォルトで、事前定義済み管理者ロールの権限の組み合わせを定義します。管理者はこれら事前定義済みロールの割り当て権限を編集できません。事前定義済みロールは、 [ Roles ] タブに一覧表示されます。
デフォルトでは、Phoenixは [ Roles ] タブで次の7つの定義済みロールを提供します。
- クラウド管理者 (Cloud administrator)
- クラウド管理者(閲覧のみ)(Cloud administrator (View only))
- 組織管理者 (Organization administrator)
- 組織管理者(閲覧のみ)(Organization administrator (View only))
- グループ管理者 (Group administrator)
- グループ管理者(閲覧のみ) (Group administrator (View only))
- データ保護担当者(DPO) (Data Protection Officer (DPO))
注:Phoenix管理者は、定義済みロールを削除することはできません。
次の表に、Phoenixが提供する事前定義済み管理者ロールを示します。
事前定義済み管理者ロール | 説明 |
クラウド管理者 |
このロールでは、管理者はすべての組織のアクティビティを管理できます。 本ロールでは以下の権限が利用できます。
|
クラウド管理者(閲覧のみ) |
このロールでは、管理者は組織内のすべての設定の読み取り専用アクセス権を持っています。Phoenix管理コンソールの構成要素に対して管理アクションを実行することはできません。ただし、名前やタイムゾーンなどのプロファイル関連の設定を変更したり、レポートや監査証跡の表示、ダウンロード、送信を行ったりすることができます。 |
組織管理者 |
このロールでは、管理者は割り当てられた組織 (1つまたは複数) のアクティビティを管理できます。 本ロールでは以下の権限が利用できます。
詳しくは、ロールの権限を参照してください。 |
組織管理者(閲覧のみ) |
本ロールの管理者は、アクセス権を持つ組織内のすべての設定への読み取り専用アクセス権を持ちます。Phoenix管理コンソールの構成要素に対して管理アクションを実行することはできません。ただし、名前やタイムゾーンなどのプロファイル関連の設定を変更したり、レポートや監査証跡の表示、ダウンロード、送信を行ったりすることができます。 |
グループ管理者 |
本ロールでは、管理者は関連付けられている管理グループ (1つまたは複数) のアクティビティを管理できます。 本ロールでは以下の権限が利用できます。
|
グループ管理者(閲覧のみ) |
本ロールの管理者は、関連付けられている管理グループへの読み取り専用アクセス権を持ちます。管理グループを管理することはできません。レポートや監査証跡の表示、ダウンロード、送信を行うことができます。 |
データ保護担当者(DPO) |
DPOのロールでは、以下の権限が利用できます。
DPOはコンフィグレーションへのアクセス、管理者の作成、サーバーや仮想マシンの登録、ポリシーの設定、Phoenix CloudCacheの管理を行うことはできません。 |
カスタム管理者ロール
Phoenixでは、クラウド管理者がカスタム管理者ロールを作成し、組織のニーズに基づいてロールに各種アクセス権を選択して割り当てることもできます。カスタム管理者ロールは、クラウド管理者ロール、組織管理者ロール、グループ管理者ロールという3つの基本的なロールを元にしています。カスタムロールは、Phoenix管理コンソールで構成要素を管理するのに役立つ個別の機能を管理者に提供します。たとえば、カスタムクラウド管理者のロールを作成して、デバイスのバックアップと復元、スナップショットの削除を行うことができます。デバイスを復元するためだけの、別のカスタムクラウド管理者ロールも作成できます。
クラウド管理者および組織管理者のみが、カスタム管理者ロールを持つ管理者を作成できます。組織管理者は、グループ管理者とカスタムのグループ管理者のみを作成できます。カスタム管理者ロールを作成する方法については、「カスタム管理者ロールを作成する」を参照してください。
注:Phoenix管理コンソールでカスタム管理者ロールに関連付けられている管理者がいない場合、そのカスタム管理者ロールを削除できます。
重要な考慮事項
ロールを作成する前に、次の考慮事項を確認してください。
- Druvaクラウド管理者、Phoenixクラウド管理者、およびカスタムのPhoenix管理者のみが、Phoenix管理コンソールの [ Administrators ] ページにアクセスできます。このページは他の管理者には表示されません。
- Phoenix管理コンソールを設定すると、7つの定義済みのロールが [ Administrators ] ページの [ Roles ] タブに表示されます。
- 管理者に割り当てることができるロールは1つだけです。1つのロールに複数の管理者を割り当てることができます。
- Phoenix管理コンソールで事前定義済みの管理者ロールを編集または削除することはできません。他のすべてのカスタム管理者ロールは編集または削除できます。
- 閲覧のみの権限を持つ管理者を除くすべての管理者は、Phoenix管理コンソールでジョブをキャンセルできます。
- カスタム管理者ロールの管理者は、Phoenix管理者および管理者ロールを作成、編集、または削除することはできません。
- グループ管理者およびカスタムのグループ管理者は、Phoenix管理コンソールでディザスタリカバリ操作を実行できません。
- データベースと仮想マシンを元の場所に復元する権限はないが、別の場所に復元する権限が設定されている管理者は、データベースと仮想マシンを元の場所に復元できます。
ロールの権限
権限は、管理者のロールの機能を定義するパーミッションです。管理者のロールは、権限の組み合わせをロールに割り当てることによって作成されます。たとえばクラウド管理者のロールは、次の権限の組み合わせによって構成されます。
- バックアップと復元の管理
- サーバー管理
- 管理系の管理
- キャッシュ管理
- レポートとアラート管理
- ポリシー管理
- ディザスタリカバリ管理
- 設定
権限の組み合わせを使用して、管理者用のカスタムロールを作成できます。Phoenixには、カスタマイズ可能な権限とカスタマイズ不可能な権限があります。デフォルトでは、カスタマイズできない権限が管理者ロールに付与されており、これらの権限をロールから切り離すことはできません。ただし、ロールに割り当てられたカスタマイズ可能な権限に対応するチェックボックスをオフにすることで、ロールの機能を制限できます。
Phoenixでは、Phoenix管理コンソールで構成要素を管理するために、次のアクセス制御権が提供されます。
権限 (Right) |
説明 | カスタマイズ可能/カスタマイズ不可の権限 |
バックアップとリストアの管理 (Backup and restore management) | ||
バックアップを構成 |
ファイルサーバー、MS-SQLサーバー、バックアップストア、NAS共有のバックアップセットを作成および編集する権限です。CloudCacheに新しいバックアップセットを割り当てたり、既存のバックアップセットを解除したりできます。また、VMwareおよびHyperVワークロードの構成や再構成もできます。 |
カスタマイズ可能 |
バックアップを実行 |
バックアップを有効または無効にし、ワークロードのバックアップをトリガーする権限です。 |
カスタマイズ可能 |
リストアの管理 (Manage restore) | ||
元の場所へリストア |
仮想マシン、ファイルとフォルダー、データベース、NAS共有を元の場所にリストアする権限です。 |
カスタマイズ可能 |
スナップショットの削除 |
サーバー、データベース、仮想マシンのスナップショットを削除する権限です。 |
カスタマイズ可能 |
サーバー管理 (Server Management) | ||
デバイスの削除 |
バックアップセット、プロキシ、サーバー、バックアップストア、仮想マシン、ESXiサーバー、HyperVホスト、NASデバイスを削除する権限です。 |
カスタマイズ可能 |
サーバーとプロキシのアクティベートまたは構成 |
Phoenixエージェント、バックアッププロキシ、バックアップストアをアクティベート、サーバー、仮想マシン、データベースからデータをバックアップするように構成する権限です。 |
カスタマイズ不可 |
クライアントまたはプロキシの更新 |
サーバー、仮想マシン、データベース上のPhoenixエージェント、バックアッププロキシ、バックアップストアをアップグレードする権限です。 |
カスタマイズ不可 |
サーバーまたはプロキシの再登録 |
サーバー、仮想マシンを実行するVMwareプロキシまたはHyperVホスト、またはバックアップストアを再登録する権限です。 |
カスタマイズ不可 |
サーバーの管理グループ変更 |
サーバーまたはバックアップストアに関連付けられている管理グループを変更する権限です。 |
カスタマイズ不可 |
管理系の管理 (Admin management) | ||
管理グループの作成、変更、削除 |
サーバー、仮想マシン、およびバックアップストアに関連付けられている管理グループを作成、編集、および削除する権限です。 |
カスタマイズ不可 |
組織の作成、変更、削除 |
サーバー、仮想マシン、バックアップストアに関連付けられた組織を作成、変更、削除する権限です。 |
カスタマイズ不可 |
キャッシュ管理 (Cache management) | ||
Cloudcacheサーバーの管理 |
Phoenix CloudCacheの設定とアップグレード、コンフィグファイルとログファイルの表示、CloudCacheを廃止する権限です。 |
カスタマイズ不可 |
レポートとアラート管理 (Reporting and alert management) | ||
レポートの表示とダウンロード、アラートの表示 |
さまざまなPhoenixレポートを表示およびダウンロードし、Phoenix管理コンソールで生成されたアラートを表示する権限です。 |
カスタマイズ不可 |
レポートのスケジュール変更 |
レポート生成のスケジュールを更新する権限です。 |
カスタマイズ不可 |
ポリシー管理 (Policy management) | ||
バックアップポリシーと保持ポリシーの作成、編集、削除 |
サーバーと仮想マシンのバックアップおよび保持ポリシーの作成、編集、削除を行う権限です。 |
カスタマイズ不可 |
コンテンツルールの作成、編集、削除 |
サーバーおよび仮想マシンのコンテンツルールの作成、編集、削除を行う権限です。 |
カスタマイズ不可 |
ディザスタリカバリ管理 (Disaster recovery management) | ||
AWSアカウントの追加 |
仮想マシンのAMIを維持するためのAWSアカウントを作成する権限です。 |
カスタマイズ不可 |
AWSプロキシの削除 (Delete AWS Proxies) |
AWSプロキシを削除する権限です。 | カスタマイズ可能 |
DRプランの作成、編集、削除 |
災害発生時にAWSアカウントの仮想マシンを復旧するための災害復旧計画を作成、編集、または削除する権限です。 |
カスタマイズ不可 |
DRフェイルオーバーの実行 |
仮想マシンをフェイルオーバーし、ディザスタリカバリを実行する権限です。 |
カスタマイズ不可 |
設定 (Settings) | ||
パスワードポリシーの編集 |
すべてのPhoenix管理者アカウントのパスワードポリシーを編集する権限です。 |
カスタマイズ不可 |
SSO構成の実行 |
Phoenixでシングルサインオンを設定する権限です。 |
カスタマイズ不可 |
SSOの有効化または無効化 |
Phoenix管理者アカウントのシングルサインオンを有効化または無効化する権限です。 |
カスタマイズ不可 |
カスタム管理者ロールの作成
Phoenix管理コンソールのグローバルAdministratorsメニューを使用してクラウド管理者ロールと他の管理者ロールを作成できるのは、クラウド管理者だけです。
手順
- Phoenix管理コンソールにログインします。
- メニューバーで、[ All Organizations ] をクリックします。
- メニューバーで、
> [ Manage Administrators ] をクリックします 。
- [ Administrators ] ページで、[ Roles ] タブをクリックします。
- [ Create Role ] をクリックします。デフォルトでは、[ Create Role ] ウィンドウが開き、[ Summary ] タブが開きます。
- [ Summary ] タブで、次のフィールドに適切な情報を入力します。
- Name (名前):作成するカスタムロールの名前です。
- Description (説明):作成するカスタムロールの短い説明です。
- Base Role (基本ロール):カスタムロールの作成元とするロールを選択します。たとえば、カスタムクラウド管理者を作成する場合は、リストから [ Cloud Administrator ] オプションを選択します。
- [ Next ] をクリックします。
[ Role Customization ] タブには、[ Summary ] タブで選択した基本ロールで指定可能な権限の組み合わせが表示されます。 - [ Role Customization ] タブで、さまざまなカテゴリの権限のチェックボックスをオンまたはオフにして、カスタムロールを作成します。権限については、「ロールの権限」を参照してください。
注:基本ロールを使用してカスタムロールを作成するとき、デフォルトのロールにはそのロールに対して有効なすべての権限が付与されています。ロールに割り当てられた権限のチェックボックスをオフにして、付与された権限のいくつかを削除できます。たとえば、スナップショットを削除する権限のないカスタムクラウド管理者ロールを作成するとき、作成されるデフォルトのカスタムロールにはベースクラウド管理者ロールからのすべての権限が付与されています。[ Delete Snapshot ] チェックボックスをオフにして、スナップショットを削除する権限を制限できます。
- [ Finish ] をクリックします。
カスタムロールを保存した後、Phoenixは [ Name ] フィールドで指定した名前を [ Base Role ] リストから選択したロールに追加し、名前が <base role>_<name> のカスタムロールを作成します。たとえば、Delete_Snapshot_Not_Allowed という名前のカスタムクラウド管理者ロールを作成すると、Phoenixは Cloud Administrator_Delete_Snapshot_Not_Allowed という名前のカスタムロールを作成します。
カスタムロールの削除
Phoenix管理コンソールでカスタム管理者のロールを削除できるのは、クラウド管理者だけです。ロールを削除する前に、そのロールが管理者に割り当てられていないことを確認してください。
注:Phoenixが提供する定義済みのロールは削除できません。
手順
- Phoenix管理コンソールにログインします。
- メニューバーで、[ All Organizations ] をクリックします。
> [ Manage Administrators ] をクリックします。
- [ Administrators ] ページで、[ Roles ] タブをクリックします。
[ Roles ] タブには、クラウド管理者が作成したすべての事前定義済みロールとカスタムロールが表示されます。 - 削除するカスタムロールのチェックボックスをオンにします。
- [ Delete ] をクリックします。
ロール詳細ページの表示
ロールの詳細ページには、Phoenixの事前定義およびカスタム管理者のロールの詳細が表示されます。
手順
- Phoenix管理コンソールにログインします。
- メニューバーで、[ All Organizations ] をクリックします。
> [ Manage Administrators ] をクリックします。
- [ Administrators ] ページで、[ Roles ] タブをクリックします。
- [ Roles ] タブには、クラウド管理者が作成したすべての事前定義済みロールとカスタムロールが表示されます。
- 詳細を表示するロールをクリックします。
ロールの詳細ページが表示されます。 - ロールの詳細ページには、事前定義済みロールの次のフィールドが表示されます。
フィールド 説明 Description
(説明)ロールの機能についての説明文です。
#Mapped Administrators
(マッピングされた管理者数)このロールが割り当てられたPhoenix管理コンソールの管理者の数です。
Rights
(権限)ロールに割り当てられたさまざまな権限です。
Mapped Administrators
(マッピングされた管理者)ロールが割り当てられたPhoenix管理者の一覧、それら管理者の電子メールアドレスと所属する組織の詳細です。
事前定義済みロールについては、管理者名をクリックして管理者の詳細を表示します。
次のスクリーンショットに、サンプルの事前定義済み管理者ロールの詳細ページを示します。
- ロール詳細ページには、Phoenix管理コンソールで作成されたカスタム管理者ロールの次のフィールドが表示されます。
フィールド 説明
Description
(説明)ロールの機能についての説明文です。
[ Edit ] をクリックして、カスタムロールの説明を変更できます。詳細については、「カスタムロールの説明編集」を参照してください。
Base Role
(基本ロール)カスタムロールの元となる、Phoenixの事前定義済み管理者ロールです。
注:このフィールドは、カスタム管理者ロールに対してのみ表示されます。
#Mapped Administrators
(マッピングされた管理者数)このロールに割り当てられたPhoenix管理コンソールの管理者の数です。
Rights
(権限)このロールに割り当てられたさまざまな権限です。
カスタムのロールの場合は、[ Edit ] をクリックしてロールに割り当てられた権限を変更できます。詳細については、「カスタムロールの権限編集」を参照してください。
-
[ Delete ] をクリックして、カスタム管理者ロールを削除できます。詳細については、「カスタムロールの削除」を参照してください。
カスタムロールの説明編集
カスタム管理者ロールに割り当てられた権限を編集するとき、ロールの説明を変更したい場合、ロール詳細ページの [ Edit ] ボタンを使用してカスタム管理者のロールの説明を変更できます。
手順
- Phoenix管理コンソールにログインします。
- メニューバーで、[ All Organizations ] をクリックします。
> [ Manage Administrators ] をクリックします。
- [ Administrators ] ページで、[ Roles ] タブをクリックします。
[ Roles ] タブには、クラウド管理者が作成したすべての事前定義済みロールとカスタムロールが表示されます。 - 説明を変更するロールをクリックします。
ロール詳細ページが表示されます。 - [ Edit ] をクリックします。
[ Edit Role ] ウィンドウが表示されます。 - [ Description ] ボックスで、ロールの説明を編集します。
- [ Save ] をクリックします。
[ Role ] タブに、編集されたロールの説明が表示されます。
カスタムロール権限の編集
ロール詳細ページを使用して、カスタム管理者ロールに割り当てられた権限の組み合わせを変更できます。管理者ロールで変更された権限は、次回のPhoenix管理コンソールへのログインから適用されます。
注:カスタム管理者ロールにのみ割り当てられている権限を編集できます。
手順
- Phoenix管理コンソールにログインします。
- メニューバーで、[ All Organizations ]をクリックします。
> [ Manage Administrators ] をクリックします。
- [ Administrators ] ページで、[ Roles ] タブをクリックします。
[ Roles ] タブには、クラウド管理者が作成したすべての事前定義済みロールとカスタムロールが表示されます。 - カスタムロールに割り当てられた権限を編集するロールをクリックします。
ロール詳細ページが表示されます。
- [ Rights ] セクションで[ Edit ] をクリックします。
[ Edit Rights ] ウィンドウが表示され、ロールに割り当てられた権限のチェックボックスがチェックされた状態になります。
- 新しい組み合わせでロールを割り当てる権限に対応するチェックボックスをオンまたはオフにします。権限の詳細については、「ロールの権限」を参照してください。
- [ Save ] をクリックします。
ロール詳細ページの [ Rights ] セクションに、カスタムロールに対して選択された権限の新しい組み合わせが一覧表示されます。