例:パーミッションスコープの定義
前の手順で、社内ITは10のパーミッションを特定しました。6つのパーミッションは、4つのスコープによって制限されます。社内ITは、VMクラウド、SRVクラウド、人事、および財務という4つのスコープを作成する必要があります。
部門 | 職務 | パーミッションの役割 | パーミッションスコープ |
---|---|---|---|
社内IT | シニア技術者 | インフラストラクチャ管理者 | すべてのリソース |
社内IT | サーバー管理者 | サーバー管理者 | すべてのリソース |
社内IT | ネットワーク管理者 | ネットワーク管理者 | すべてのリソース |
社内IT | ストレージ管理者 | ストレージ管理者 | すべてのリソース |
財務 | OS/アプリケーション管理者 | サーバープロファイルオペレーター | 財務 |
人事 | OS/アプリケーション管理者 | サーバープロファイルオペレーター | 人事 |
SRVクラウドIT | サーバークラウド管理者 | サーバープロファイル設計者 | SRVクラウド |
SRVクラウドIT | サーバークラウド管理者 | スコープオペレーター | SRVクラウド |
VMクラウドIT | サーバー管理者 | サーバー管理者 | VMクラウド |
VMクラウドIT | ネットワーク管理者 | ネットワーク管理者 | VMクラウド |
VMクラウドITは、エンクロージャーの管理を担当します。次のテーブルは、VMクラウドスコープに割り当てる必要があるリソースを特定するために、社内ITによって実施された分析の結果をまとめたものです。
操作 | 分析 |
---|---|
ネットワークの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。SANは共有リソースと見なされ、スコープによって制限されません。VMクラウドITは、ファイバーチャネル(FC)およびFibre Channel over Ethernet(FCoE)ネットワークにSANを割り当てることができます。 |
ネットワークセットの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITができる唯一のことは、VMクラウドITが作成したネットワークをVMクラウドネットワークセットに割り当てることです。 |
論理インターコネクトグループの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITができる唯一のことは、VMクラウドによって作成されたネットワークをアップリンクセットに割り当てることです。 |
エンクロージャーグループの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITができる唯一のことは、VMクラウドITが作成した論理インターコネクトグループをエンクロージャークループに割り当てることです。 |
論理エンクロージャーの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。この操作中に作成された論理インターコネクトは、VMクラウドスコープに自動的に追加されます。VMクラウドITは、VMクラウドパイロットに割り当てられているエンクロージャーにアクセスする必要があります。社内ITは、VMクラウドスコープに3つのエンクロージャーを割り当てる必要があります。ファームウェアバンドルはスコープによって制限されるため、VMクラウドITは承認されているファームウェアバンドルにアクセスする必要があります。社内ITは、VMクラウドスコープに、認可されているファームウェアバンドルを割り当てる必要があります。 |
インターコネクトの電源オン/オフ/更新 | 社内ITは、VMクラウドITがVMクラウドインターコネクトを管理できるように、VMクラウドスコープにVMクラウドエンクロージャー内のインターコネクトを割り当てる必要があります。 |
ドライブエンクロージャーの電源オン/オフ/更新 | 社内ITは、VMクラウドITがVMクラウドエンクロージャー内のドライブエンクロージャーを管理できるように、VMクラウドスコープにドライブエンクロージャーを割り当てる必要があります。 |
コンソールの起動、サーバーハードウェアの電源オン/オフ/リセット/更新 | 社内ITは、VMクラウドスコープにVMクラウドエンクロージャー内のブレードを割り当てる必要があります。 |
サーバープロファイルテンプレートの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITは、サーバープロファイルテンプレートにリソースを割り当てるために、ファームウェアバンドル、ネットワーク、ネットワークセット、およびボリュームテンプレートにアクセスする必要があります。社内ITは、VMクラウドスコープに、認可されているボリュームテンプレートを割り当てる必要があります。このパイロットでは、イメージストリーマーを構成しません。そのため、OS展開プランにアクセスする必要はありません。 |
サーバープロファイルの作成 | VMクラウドITによって作成され、VMクラウドスコープに自動的に追加されます。VMクラウドITには、上記で付与された権限に加えて、サーバーハードウェアへのアクセス権が必要です。 |
社内ITは、SRVクラウドスコープについても同様の分析を実施しました。SRVクラウドITユーザーは、サーバーに関連する操作だけを実行できます。次のテーブルは、その結果をまとめたものです。
操作 | 分析 |
---|---|
コンソールの起動、サーバーハードウェアの電源オン/オフ/リセット/更新 | 社内ITは、SRVクラウドスコープにSRVクラウドエンクロージャー内のブレードを割り当てる必要があります。 |
サーバープロファイルテンプレートの作成 | SRVクラウドITによって作成され、SRVクラウドスコープに自動的に追加されます。SRVクラウドITは、サーバープロファイルテンプレートにリソースを割り当てるために、ファームウェアバンドル、ネットワーク、およびネットワークセットにアクセスする必要があります。 社内ITは、SRVクラウドスコープにファームウェアバンドル、ネットワーク、およびネットワークセットを割り当てる必要があります。 |
サーバープロファイルの作成 | SRVクラウドITによって作成され、SRVクラウドスコープに自動的に追加されます。SRVクラウドITには、上記で付与された権限に加えて、サーバーハードウェアへのアクセス権が必要です。 |
人事スコープと財務スコープへのSRVクラウドリソースの割り当て | スコープにリソースを割り当てるときは、Update とUse の両方の権限チェックが実行されます。たとえば、人事スコープにブレードを割り当てる場合、SRVクラウドITには人事スコープに対するUpdate 権限、およびサーバーハードウェアに対するUse 権限が必要です。また、SRVクラウドスコープに人事スコープとブレードの両方を割り当てる必要があります。SRVクラウドITができる唯一のことは、人事スコープと財務スコープを更新することです。スコープにリソースを割り当てる場合に、階層という概念はありません。スコープに対してスコープを割り当てると、そのスコープで実行できる操作は制限されますが、どちらのスコープに割り当てられているリソースへのアクセス権にも影響はありません。社内ITは、SRVクラウドスコープに人事スコープと財務スコープのインスタンスを割り当てる必要があります。 |
最後に、社内ITは、人事スコープと財務スコープの分析を実施します。
操作 | 分析 |
---|---|
コンソールの起動、サーバーハードウェアの電源オン/オフ/リセット/更新 | SRVクラウドITは、人事スコープと財務スコープに対するSRVクラウドサーバーハードウェアの割当を担当します。 |
サーバープロファイルのアップデート | SRVクラウドITは、人事スコープと財務スコープに対するSRVクラウドサーバープロファイルの割当を担当します。また、人事スコープと財務スコープにSRVクラウドファームウェアバンドルを割り当てることもできます。SRVクラウドITは、人事ユーザーと財務ユーザーがサーバーファームウェアを更新できようにするかどうかについてまだ話し合っています。 |
要約すると、パイロットの認証モデルでは、4つのパーミッションスコープと、パーミッションが関連付けられた9つのディレクトリグループアカウントを定義します。
パーミッションスコープ | 社内ITによってスコープに明示的に割り当てられるリソース |
---|---|
財務 | なし |
人事 | なし |
SRVクラウド | SRVクラウドパイロット専用の2つのエンクロージャーに格納されたブレード。 SRVクラウドITでの使用が承認されたファームウェアバンドル。 SRVクラウドITでの使用が承認されたネットワーク。 財務スコープと人事スコープのリソースインスタンス。これは、SRVクラウドITが財務スコープと人事スコープにSRVクラウドリソースを割り当てるうえで必要です。 |
VMクラウド | VMクラウドパイロット専用の3つのエンクロージャー。 3つのエンクロージャーに格納されたブレード。 3つのエンクロージャーに格納されたインターコネクト。 3つのエンクロージャーに格納されたドライブエンクロージャー。 VMクラウドITでの使用が承認されたファームウェアバンドル。 VMクラウドITでの使用が承認されたボリュームテンプレート。 |
ディレクトリグループ | パーミッション |
---|---|
CorpIT-FULL | (インフラストラクチャ管理者、すべてのリソース) |
CorpIT-NA | (ネットワーク管理者、すべてのリソース) |
CorpIT-SA | (サーバー管理者、すべてのリソース) |
CorpIT-StA | (ストレージ管理者、すべてのリソース) |
Finance-Admins | (サーバープロファイルオペレーター、財務) |
HR-Admins | (サーバープロファイルオペレーター、人事) |
SRVCloudIT-Admins | (サーバープロファイル設計者、SRVクラウド)、(スコープオペレーター、SRVクラウド) |
VMCloudIT-SA | (サーバー管理者、VMクラウド) |
VMCloudIT-NA | (ネットワーク管理者、VMクラウド) |