重要:テナント管理機能は現在一般公開されておりません。ご利用いただく場合は、購入前の質問もしくはヘルプデスクよりお問い合わせください。
概要
Coatiが監視するAWSアカウントを「テナント」と呼ぶ管理単位に紐づけ、複数のテナントを纏める管理単位である「グループ」の機能を提供します。また、1人のユーザーが複数のテナントに参加することで複数のAWSアカウントに対して操作することを可能にします。
グループのユーザーは専用のグループダッシュボードを通じてテナントを管理します。
テナントのユーザーは専用のテナントダッシュボードを通じてテナント内の設定や操作を行います。
テナント管理機能の想定用途例
テナント管理機能を利用することによって、以下のような管理を行うことができます。
例1
- Coatiをエンドユーザーに提供する企業がグループを作成
- エンドユーザー毎にテナントを作成
例2
- 企業内の管理部門(情シスなど)がグループを作成
- 企業内の部門毎にテナントを作成
テナント管理機能詳細
1. テナント
テナントは、AWSアカウント1つにつき1つ作成します。
ユーザーは、テナントに所属することでそのテナントのAWSアカウントに対し操作や情報閲覧を行うことができます。テナントに所属しているユーザーをテナントユーザーと呼びます。ユーザーは、複数のテナントに参加することができます。
テナントユーザーがテナントのAWSアカウントに対して可能な操作は、ロールによって決まります。テナントユーザーのロールには「管理」「運用」「閲覧」の3つがあります。
テナントユーザーのロールと可能な操作(オペレーション)の関係は以下となります。
オペレーション | 管理 | 運用 | 閲覧 | 說明 |
Coatiの監視・停止の状態を取得 | ○ | ○ | ○ | |
Coatiを起動・停止 | ○ | ○ | ||
サポートヘルプデスクにアクセス | ○ | ○ | ○ | |
Webhookをテナントに割当て | ○ | ○ | ○ | 現在非公開の機能 |
イベント情報を閲覧 | ○ | ○ | ○ | |
インスタンスの情報を閲覧 | ○ | ○ | ○ | |
インスタンスの設定を変更 | ○ | ○ | ||
サービスの情報を閲覧 | ○ | ○ | ○ | |
サービスの設定を変更 | ○ | ○ | ||
テナントからユーザを削除 | ○ | |||
テナントにユーザを追加 | ○ | |||
テナントの情報を閲覧 | ○ | ○ | ○ | |
テナントの設定を変更 | ○ | ○ | ||
テナントを新規作成 | ○ | ○ | ||
テナントユーザーに関する情報を閲覧 | ○ | ○ | ○ | |
料金プランを変更 | ○ | |||
ユーザーのロールを変更 | ○ | |||
リソース検出を実行 | ○ | ○ | ○ | |
使用者情報を取得 | ○ | ○ | ○ | |
使用者情報を変更 | ○ | |||
現在の利用時間を取得 | ○ | ○ | ○ | |
通知設定を変更 | ○ | ○ | ||
通知設定を閲覧 | ○ | ○ | ○ |
上記のオペレーションの実行許可は、後述のグループユーザーによって制限されることがあります。
2. グループ
グループは、複数のテナントを纏めて管理します。
グループのユーザー(グループユーザー)は、以下の作業を行うことができます。
- グループに所属する全てのテナントに対しての各種オペレーション
- テナントの追加・削除
- 所属するグループへのユーザー追加・削除
- 所属するグループのユーザーのロールの変更
グループユーザーの可能な操作は、ロールによって決定されます。グループユーザーのロールには「管理」「運用」「閲覧」の3つがあります。
グループユーザーのロールと可能な操作(オペレーション)の関係は以下となります。
オペレーション 管理 運用 閲覧 說明 テナントを新規作成 ○ ○ テナントを削除 ○ ○ グループユーザーに関する情報を閲覧 ○ ○ ○ 新規グループユーザーを登録 ○ グループユーザーを削除 ○ グループユーザーのロールを変更 ○ グループが所有しているテナントを閲覧 ○ ○ ○ グループに新規テナントを作成 ○ ○ テナントのユーザーの上限ロールを閲覧 ○ ○ ○ テナントのユーザーの上限ロールを変更 ○ ○ テナントに許可する権限を閲覧 ○ ○ ○ テナントに許可する権限を変更 ○ ○ 支払先情報を閲覧 ○ 現在非公開の機能 支払先を作成 ○ 現在非公開の機能 支払方法を削除 ○ 現在非公開の機能 支払方法を更新 ○ 現在非公開の機能 WebhookのURLを登録 ○ 現在非公開の機能 サポートヘルプデスクにアクセス ○ ○ ○ - 各テナントに対するオペレーションの不許可権限の設定
各テナントのロールに対してオペレーション単位で実行許可を取り消すことができます。
例えば、テナントの「管理」ロールを割り当てられているユーザーは、デフォルトではオペレーション「テナント新規作成」の実行許可を持ちますが、グループユーザーは任意のテナントに対し、このオペレーションの実行を「不許可」に設定することができます。不許可に指定されたテナントのテナントユーザーは、「管理」ロールを割り当てられていても「テナント新規作成」を実行できなくなります。
なお、ロールに対してデフォルトで「不許可」であるオペレーションを「許可」に変更することはできません。 - テナントユーザーに割り当てるロールの上限(上限ロール)設定
各テナントには上限ロールが設定されています。デフォルトでは上限ロールは「管理」となっており、この場合、そのテナントに所属するテナントユーザーは最高で「管理」の権限を持つことができます。グループユーザーがテナントの上限ロールを「運用」に変更した場合、そのテナントのユーザーに割りあてられる権限の上限は「運用」となります(「運用」「閲覧」のみを割り当てることが可能となり、「管理」を割り当てられなくなります)。
グループユーザーは、他のグループに所属することはできません。
グループユーザーは、テナントユーザーになることはできません。
グループに対するオペレーションの実行許可設定は変更できません。
コメント
0件のコメント
記事コメントは受け付けていません。