クラウドインフラストラクチャを安全に共有

アカウント間でインフラストラクチャを安全に共有できる機能を発表できることを嬉しく思います。また、これらの共有リソースに対して実行できるアクションを定義して、きめ細かな制御を行うこともできます。この新機能により、さまざまなリソースのセットを1つ以上の他のアカウントと共有できるようになります。私たちは各ポリシーをアクセス制御リスト、略してACLと呼んでいます。ニーズに応じて必要な数だけACLを作成でき、変更は即座に反映されます。言うまでもなく、すべてのACLは完全に無料でご利用いただけます。

このフレームワークは、シンプルで透明性が高く、メンテナンスが容易になるように設計されています。真のセキュリティは、人々が実際に使用し、積極的にメンテナンスするツールから生まれるため、クラウドインフラストラクチャの共有にもその原則を適用しました。

以下に、最初のACLを設定してすぐに使い始めるための非常にわかりやすいガイドと、YouTube動画 の実演を用意しました。私自身も自分のアカウントで同僚とリソースを共有するためにこれを使用しているため、皆様も問題なく使いこなせるようになると確信しています。また、最後に新しいACLフレームワークの活用例をいくつか紹介しています。

安全な共有のための3つの簡単なステップ

それでは始めましょう。ACLを開始するための簡単な3ステップのプロセスを用意しました。ウェブアプリのアカウントには、すでに新しいセクションが追加されています。

クラウドACL：クラウドリソースを安全に共有する

ステップ 1：タグの作成

まず、共有したいリソースを識別するためのタグを設定する必要があります。ウェブアプリの「タグ」セクションに移動し、‘作成’ボタンをクリックします。ここでは、データベースサーバーを共有したいと仮定し、「database」というタグを作成します。

新しいクラウドインフラストラクチャタグの作成

これで最初のタグが作成されました。リソース列の下に‘0’と表示されているのがわかります。これは、まだリソースにタグを付けていないことを意味します。

クラウドインフラストラクチャタグ

ステップ 2：クラウドインフラストラクチャへのタグ付け

次に、「コンピュート」セクションに移動し、タグを追加したいデータベースサーバーを選択します（サーバーにタグを付けると、それに関連付けられているドライブやネットワークポリシーにも自動的にタグが付けられますのでご注意ください）。

タグでクラウドサーバーを整理する

2つのデータベースサーバーにタグが正常に追加されたことが確認できます。

新しいタグが追加されたデータベースクラウドサーバー

ステップ 3：アクセス制御リスト（ACL）の作成

インフラストラクチャにタグを付けたので、リソースを共有する準備が整いました。ACLセクションに戻り、「作成」をクリックして新しいACLを追加します。

クラウドインフラストラクチャのACLを作成する

アクセス制御ポリシーに名前を付け、付与したい権限を設定します。ここでは、起動/停止、VNCの起動（システム復旧に便利）、および編集（リスト権限も必要）を許可します。アタッチやクローンは許可しないため、このポリシーはクラウドサーバーの設定をスケールしたり大幅に変更したりすることよりも、サーバーをそのまま管理することに重点を置いています。

ジュニアデータベース管理者ACL

次に、このACLに「database」タグを追加しましょう。

ACLへのタグの追加

最後に、データベース管理者をポリシーに追加し、もちろんポリシーを保存する必要があります。

ACLへのユーザーの追加

注意：セキュリティ上の理由から、UUIDを難読化しています。

これでACLが有効になり、設定したリソースが共有されます。サーバーリストに戻ると、データベースサーバーの名前の前にアイコンが表示され、現在アクティブに共有されていることを示しているのがわかります。

アクティブに共有されているクラウドサーバー

もちろん、相手側では、共有されたクラウドインフラストラクチャがデータベース管理者のアカウント（この場合は、もう一人の共同創業者である CloudSigma のパトリック！）：

共有クラウドサーバーが表示されるようになりました

次に、他のユーザーと共有しているリソースとは異なり、自分のアカウントに共有されているリソースを示す別のアイコンが表示されていることに気づくでしょう。また、パトリックのストレージセクションには、サーバーに関連付けられているドライブも表示されます。

共有クラウドサーバーのドライブ

パトリックは、VNCを開くことや、私が彼に付与したその他のアクションを実行できるようになりました。データベースタグを使用して、いつでもインフラストラクチャを追加または削除したり、付与された権限を変更したりできます。また、インフラストラクチャに複数のタグを追加できるため、複数のタグが設定され、それらに対して複数のポリシーが発行されたサーバーが存在することも考えられます。

ユースケース 1：外部の契約業者

新しいサービスを開発している外部の契約業者と共同作業を行う場合、そのプロジェクトのために管理する必要があるインフラストラクチャへのアクセス権は与えたいものの、CloudSigmaのアカウントやインフラストラクチャへのフルアクセス権は与えたくない、ということがあります。ACLsを使用すると、セキュリティを損なうことなく、必要なインフラストラクチャを安全に共有できるようになります。手順は、まずプロジェクト用のタグ（ここでは「Project X」とします）を作成するだけです。次に、共有したいすべてのリソースに、新しく作成した「Project X」タグを付けます。最後に、ACLsセクションに移動して新しいACLを作成します。共有したいリソースと必要なアクションを決定し、相手のメールアドレスとUUID（おそらく相手にCloudSigmaのUUIDを尋ねる必要があります）を入力して、そのアカウントをACLに追加します。これで、相手のアカウントにProject Xのインフラストラクチャが自動的に表示されるようになります。

プロジェクトが完了した、または契約業者が離脱した場合は、リソースから「Project X」タグを削除するだけで共有が解除されます。あるいは、ACLから外部の契約業者を削除することもできます（ポリシーには何人でも追加できるため、ポリシー自体は維持したまま、特定の個人だけを除外することも可能です）。非常にシンプルです。

ユースケース 2：データベース管理者

この例では、役割ベースの権限セットが必要になる場合があります。組織内で特定の役割を持つ人が、自分に必要なインフラストラクチャにはアクセスできるようにしつつ、責任範囲外の他のインフラストラクチャにはアクセスできないようにするためです。これは、本記事のハウツーで説明されているユースケースと同じです。

例えば、データベース管理者にインフラストラクチャ内のデータベースサーバーのみへのアクセスを許可したいとします。やり方は非常に簡単です。まず、‘database’というタグを作成します。次に、すべてのデータベースサーバーにこのdatabaseタグを付けます。最後に、付与したい権限を設定したACLを作成し、新しく作成したdatabaseタグを追加してから、データベース管理者のアカウント情報をそのACLに追加します。これで完了です。

最も重要なのは、データベース管理者にアクセスさせる必要のあるデータベースサーバーが追加された場合、そのサーバーにdatabaseタグを追加するだけでよいということです。それだけで、権限がリアルタイムでACLから自動的に適用され、データベース管理者のアカウントにアクセス可能な新しいデータベースサーバーが表示されます。また、アクセス権を削除したい場合はどうすればよいでしょうか？単にdatabaseタグを削除するだけです。

この機能が皆様にとっても私と同様に便利なものであることを願っています。サポートが必要な場合は、24時間年中無休で対応しており、ACL機能に精通しているライブチャットサポートをいつでもご利用ください。

ハッピーコンピューティング、

ロバート