背景
協力会社、開発会社、開発チーム、保守チームなど、クラウド上のプロジェクトに第三者を招待するケースは多々あります。
AWSやAzure等であればWeb上に情報が豊富にありますが、さくらのクラウドについては昨今サービスが拡充されている状況のため情報があまりありません。
今回さくらのクラウドを使用することになったため、手順をまとめます。
手順
手順は以下の通りです。
ユーザー追加
さくらのクラウドにアクセスし
ユーザ > ユーザの作成に進みます。
追加するユーザの必要事項を入力して作成します。
ユーザ名:フルネームなど (例:山田太郎)
ユーザコード:内部管理ID (例:yamada_taro)
メールアドレス:任意ですが組織・名前の紐づけ管理がしやすいので設定を推奨
※ パスワードはこの辺で生成します
https://api.excelapi.org/other/create-password?length=15&lowercase=1&uppercase=1&number=1&similar=1&symbol=0
確認画面が表示されるので作成します。
ユーザグループの作成
次にユーザを1つにまとめるためグループを作成します。
ユーザが少数だけの場合は不要ですが、将来的に増減する可能性がある場合はグループを作成しておいた方が管理がしやすいと思います。
ユーザグループ名を入力し、グループに追加するユーザにチェックを入れて作成します。
確認画面が表示されますので作成します。
権限付与
次に権限を付与します。
IAMポリシー > アクセス権の付与 を選びます。
プロジェクトが複数ある場合はどのプロジェクトのIAMを操作しているか予め確認しましょう。
プリンシパルで作成したユーザグループを選択します。
ロールを設定します。
開発チームの場合は次のような権限があると良いです。
作成に進むと確認画面が表示されるため作成します。
以上で管理者側の設定は完了です。
外部ユーザーに「ユーザコード」「会員ID」「パスワード」の3つを伝えてください。
補足
ロールについては説明が必要だと思いますので補足します。
さくらのクラウドは一部の機能・サービスが別サービスとなっているため、別々のロールを追加する必要があります。
さくらのクラウド:さくらのクラウドの基本的な機能を使用できます
IAM:IAMの管理権 (外部に提供する場合は注意)
請求閲覧:請求額の確認
オブジェクトストレージ:AWS S3のようなストレージサービス
さくらのウェブアクセラレータ:Webコンテンツ高速化のためのキャッシュサービス
さくらの専用サーバ PHY:物理専用サーバー
AppRun:コンテナサービス
高火力DOK:コンテナ型GPUサービス
APIゲートウェイ:ロードバランサ・APIフロント
ワークフロー:CI/CDから呼び出すために必要
イベントログ:リソースの追加/削除等のログ閲覧
セキュリティコントロール:不正なリソースの検知・攻撃検知等
このうち、さくらのクラウドについては権限がさらに複雑になっており、権限の強さは 管理者 > 作成削除 > 設定編集 > 電源操作 > リソース閲覧の順序となっています。
詳細は以下のヘルプが詳しいです。
https://manual.sakura.ad.jp/cloud/controlpanel/access-level.html#id8
その他の クラウドHSM管理者、KMS管理者、シークレットマネージャー管理者の3つについては、鍵情報を管理する別々のサービスのようです。あまり使用頻度は無いと思います。
クラウドHSM
https://cloud.sakura.ad.jp/products/cloud-hsm/
KMS(Key Management Service)
https://cloud.sakura.ad.jp/products/kms/
シークレットマネージャ
https://cloud.sakura.ad.jp/products/secrets-manager/
外部ユーザのログイン
以下はアカウント情報を教えられた外部ユーザ側の手順です。
ログイン画面にアクセスします。
https://secure.sakura.ad.jp/cloud/#/login
管理者から聞いた「ユーザコード」「会員ID」「パスワード」を「さくらのクラウドユーザとしてログイン」の方に入力して、ログインボタンを押下します。
ログインできれば成功です。
コメント