はじめに
Instanaは個々のユーザーに対して直接権限を割り当てるのではなく、ユーザーを役割が定義されたグループに所属させることで、アクセス制御を管理します。
ロールベースアクセス制御(RBAC)ですね。
このBlogではまず、InstanaにおけるRBACの基本的な動作について解説し、次回以降のBlogで細かく設定内容および、その設定によるInstanaの動作を解説します。
ドキュメントはこちら:https://www.ibm.com/docs/ja/instana-observability/current?topic=instana-managing-user-access
グループ
まずはグループについてです。冒頭でも説明したように、複数の権限をまとめた単位です。
Instanaの利用を開始すると、デフォルトで以下のグループが作成されます。
Default:全ての権限が無効。
Owner:全ての権限が有効。
新規にユーザーを追加する際、特に指定がない場合はDefaultのグループが自動で割り当てられます。
利用を開始したら必要に応じてグループを作成していきましょう。
グループを作成する際は、Ownerグループ もしくは [アクセス・グループの構成] の権限を持つグループ に所属している必要があります。
作成方法は最後に簡単に説明しますので、先に権限を設定する際に出てくる用語について解説します。
アクセス権
アクセス権は、リソース(公式Docではプロダクト・エリアなどと表現)毎に設定するアクセスレベルとアクセスタイプおよびグローバル関数の各種許可で構成されます。
それぞれみていきましょう。
アクセスレベル
アクセスレベルはどのリソースの情報を参照可能とするかを以下の3種類のレベルで制御します。
|
Instanaが収集したすべてのデータにアクセス可能な
「すべてにアクセス」
|
特定の条件にマッチしたデータのみアクセス可能な
「制限付きアクセス」
|
すべてのデータにアクセスできない
「アクセス権なし」
|
|
※デフォルトで設定されます。
|
|
|
アクセスレベルを設定可能なリソースは以下となります。(○→設定可、×→設定不可)
|
リソース
|
すべてにアクセス
|
制限付きアクセス
|
アクセス権なし
|
|
Webサイト
|
○
|
○
|
○
|
|
モバイル・アプリ
|
○
|
○
|
○
|
|
ビジネス・モニタリング
|
○
|
○
|
○
|
|
アプリケーション
|
○
|
○
|
○
|
|
Kubernetes
|
○
|
○
|
○
|
|
インフラストラクチャー
|
○
|
○
|
○
|
|
シンセティック・モニタリング
|
○
|
○
|
○
|
|
Automation
|
○
|
×
|
○
|
ユーザーが複数のグループに所属し、異なるアクセスレベルを持つ場合は、以下のルールで権限が付与されます。
制限付きアクセス > アクセス権なし > すべてにアクセス
例えば、「制限付きアクセス」と「すべてにアクセス」を持つユーザーは、制限付きアクセスの方が優先されます。
アクセス・タイプ
アクセスタイプは、そのリソース内でどの様な操作が可能かを以下の3種類のタイプで制御します。
|
所有者
|
コントリビューター
|
ビューワー
|
|
|
※アプリケーションでのみ選択可能
※一部…事前に定義された条件にマッチする範囲内
|
※デフォルトで設定されます。
|
アクセスタイプを設定可能なリソースは以下となります。(○→設定可、×→設定不可)
|
リソース
|
所有者
|
コントリビューター
|
ビューワー
|
|
Webサイト
|
○
|
×
|
○
|
|
モバイル・アプリ
|
○
|
×
|
○
|
|
ビジネス・モニタリング
|
×
|
×
|
×
|
|
アプリケーション
|
○
|
○
|
○
|
|
Kubernetes
|
×
|
×
|
×
|
|
インフラストラクチャー
|
×
|
×
|
×
|
|
シンセティック・モニタリング
|
○
|
×
|
○
|
|
Automation
|
○
|
×
|
○
|
グローバル関数
この権限は、APIトークンの生成や、イベントおよびアラートの構成など、Instanaの機能全般に関する権限を設定します。
それぞれについてはこのBlogでは割愛し、次号以降のBlogで解説します。
グループの作成
用語の解説はこれくらいにして、この章からグループの作成方法を簡単に説明します。
※詳細な設定および動作は各リソースの設定方法を別のBlogにするのでそちらで解説します。
Instana左側のメニューから、設定(歯車マーク)をクリックします。
設定画面が表示されたら、[チーム設定] > [アクセス制御] > [グループ]を選択します。
画面右上の [+ 新規グループ] をクリックします。
新規グループの作成画面が表示されたら、 [グループの表示名] を入力します。
今回はデフォルトのまま設定を完了するので、 [保存] をクリックします。
グループへのユーザー割り当て
グループを作成すると、ユーザー一覧の画面が表示されます。
作成したてなので、ユーザーは誰もいません。[+ ユーザーの追加] から追加をしてみましょう。
Instanaに登録されているユーザー一覧から、追加したいユーザーを選択して、 [保存] をクリックします。
ユーザー数が多い場合は右上の検索ボックスも活用してください。
ユーザーが追加できました。
ユーザーをグループから削除したい場合はユーザー名の右にあるゴミ箱アイコンから削除が可能です。
また、グループ自体を削除したい場合は、グループ一覧に戻り、グループ名の右にあるゴミ箱アイコンから削除が可能です。
おわりに
InstanaのRBACに関する大まかな解説は以上となります。
次回からは細かく設定内容に関して解説しますので、必要に応じて確認いただけますと幸いです。
※以下の単位で執筆を予定しています。
-
Webサイト
-
モバイルアプリケーション
-
ビジネスモニタリング
-
プラットフォーム
-
シンセティック
-
イベントおよびアラート
-
グローバル関数