IBM Cloud始めてみた。その1(まずは環境整備編)– 東京システムリサーチ

0.初めに

こんにちは。東京システムリサーチで技術支援をしている古屋です。

この連載では、IBM Cloudサービスを利用していて色々と理解が追いついたことなど、備忘的にそろえていきます。あくまでも個人的な理解の内容なので、公式な内容はIBM Cloudドキュメントで確認してね。

なお、この記事は、IBM Cloudアカウントをすでに持っていて、IBM Cloud上にサービスを構築していこうとしている人に向けています。

IBM Cloudアカウントは、以下のアカウントのうちどちらかを持っている人のことです。

  • 従量課金アカウント
  • サブスクリプションアカウント

アカウントの種類に関する詳細は、アカウントタイプを参照してね。

アカウントがあればすぐにサービス構築を始められるのですが、後々構築したサービスの管理が大変になるのでクラウドの環境整備として次のことを理解しておくと管理が楽になります。

  • リソース・グループ
  • リソースへのアクセス権

リソース・グループとアクセス権の詳細に関しては、リソースを編成してアクセス権限を割り当てるためのベスト・プラクティスを参照してね。

注)IBM Cloudの次のサービスやインフラについては、IBM Cloud Identity and Access Management (IAM) に対応してないのでリソース・グループで管理することはできません。

  • Cloud Foundry
  • Classic Infrastructure

1.IBM Cloudのリソース・グループとは

リソース・グループは、主に次の2つの目的で利用します。

  • アクセスコントロール対象
  • 利用料金の請求単位

会社の別々の組織で各々の用途でサービスを利用したい場合などは、組織単位に作成しておいた方が良いでしょう。また、開発環境、検証環境、本番環境のような環境を持ちたい場合もそれぞれのリソース・グループを作成することで環境を分けることが可能です。

2.IBM Cloudのリソース・グループを作ってみよう

IBM Cloudの管理コンソールを使ってリソース・グループを作ってみます。

  • 上部のメニューから「管理」->「アカウント」を選択します。
  • 左のメニューから「リソース・グループ」を選択します。
  • 「作成」を選択すると新規リソース・グループの作成画面がポップアップします。
  • リソース・グループ名を入力して「作成」します。
リソース・グループ作成

3.IBM Cloudのリソース・グループに対するアクセス権を理解しよう

リソース・グループへのアクセス権付与は、IAMで実施します。

クレジットカード番号を登録したり、サブスクリプションを購入したユーザーはアカウント所有者となりアカウント管理者ロールが自動的に付与されます。アカウント管理者ロールでは、次のことが可能になります。

  • ユーザー招待やアクセス権限の割り当てとその管理
  • リソース・グループ、アクセス・グループ、トラステッド・プロファイルの作成
  • 使用量の追跡や請求の詳細確認
  • サービス・インスタンスの作成、削除

IAMで定義されているロールには、大別してプラットフォーム管理ロールとサービス・アクセスロールの2種類のロールが存在します。

プラットフォーム管理ロールは、サービス・インスタンスの作成や削除、エイリアスやバインディング、クレデンシャルの管理、ユーザーの管理などについて実施できる権限を定義します。

プラットフォーム管理ロールでは、デフォルトで次のロールが定義されています。

  • ビューワー
  • オペレーター
  • エディター
  • 管理者

各ロールの詳細な権限については、プラットフォーム管理の役割の「表2: アカウント内のサービスに対するプラットフォーム管理の役割とアクションの例」を参照してね。

サービス・アクセスロールでは、サービス・インスタンスのAPI呼び出しについて実施できる権限を定義します。

サービス・アクセスロールでは、デフォルトで次のロールが定義されています。

  • リーダー
  • ライター
  • 管理者

各ロールの詳細な権限については、サービス・アクセス役割の「表4: サービス・アクセスのユーザー役割とアクションの例」を参照してね。

アカウント所有者、または、ロール管理サービスで管理者ロールを割り当てられたユーザは、IAM のロールページでサービスに対するカスタム・アクセス・ロールを作成できます。

アクセス権、ロールに関する詳細については、IBM Cloud IAM 役割を確認してね。

4.リソース・グループへのアクセス権をユーザーへ割り当ててみよう

「2.IBM Cloudのリソース・グループを作ってみよう」で作成したリソース・グループにユーザーがアクセスできるようにする権限を作成します。

4-1.IBM Cloudのアクセス・グループを作成しよう

作成したリソース・グループ(Sample-rg)の開発者としてアクセスするための権限を作成します。

開発者の権限なので、プラットフォーム管理ロールについてはここでは無視します。

サービス・アクセスロールとしては、IBM Cloudのすべてのサービスにアクセス可能とする権限を与えます。

  • IBM Cloudダッシュボード上部メニュー「管理」->「アクセス(IAM)」というメニューを選択します。
  • 左メニューの「アクセス・グループ」を選択し、出力されるアクセス・グループ一覧上部の「作成」ボタンを選択します。
  • アクセス・グループ名を入力する画面に名前を入力して「作成」ボタンを選択すると作成が完了します。
  • アクセス・グループの一覧に作成したグループが表示されます。

次に作成したアクセス・グループにアクセス権を割り当てていきます。

  • アクセス・グループ一覧から作成したグループを選択します。
  • 「アクセス」タブを選択します。
  • 「アクセス権限の割当」を選択します。

アクセス権限の割り当て画面左の項目では次の内容を選択します。

  • 「サービス」では「リソース・グループのみ」を選択します。
  • 「リソース」では次の選択をします。
    • 「属性タイプ」に「リソース・グループ」を選択します。
    • 「値」に紐づけたいリソース・グループ(Sample-rg)を選択します。
  • 「リソース・グループ・アクセス」では「エディター」を選択します。
  • 上記選択が完了したら「追加」を選択します。

「追加」まで完了すると、画面右側の「割り当て」がアクティブになるので、「割り当て」を選択すると、アクセスポリシーを作成します。

アクセスポリシーの割り当て
4-2.アクセス・グループに属するユーザーを追加しよう

ユーザーの追加は次のように行います。

  • 作成したアクセス・グループの「ユーザー」タブを選択します。
  • 「ユーザーの追加」を選択します。
  • ユーザー一覧画面から追加するユーザーのチェックボックスをチェックします。
  • ユーザー一覧上部にある「グループに追加」を選択します。
  • 「ユーザー」タブに戻ると追加したユーザーが一覧内に表示されます。

以上で、リソース・グループの作成、および、そのリソース・グループに対するアクセス権を指定したアクセス・グループの作成ができました。

また、作成したアクセス・グループをユーザーへ割り当てると、アクセス・グループの権限で、ユーザーがリソース・グループにアクセスできるようになります。