Prism Centralの活用その4（RBACで操作と見える範囲の権限設定・その1）

vCenter Serverでの運用からPrism Centralの運用に切り替えを検討される方も増えているかと思います。そんな際に聞かれるのが、

Aさんは、「特定のVMだけ操作できるように」
Bさんは、「グループ全体のVMが操作できるように」
Cさんは、「特定のVMだけのゲストOS操作だけできるように」

といった、操作できる機能制限や、操作できる対象物（主に仮想マシン）の見える範囲を制限する機能を求められることがあります。

本機能は、従来SelfServiceで行ったりCalmで制御するとかいろいろ紆余曲折した経緯があるのですが、現在ではRBAC2.0の機能がしっかりと実装され、さらにMSP機能がデフォルトで有効になったことで機能別に細かな権限を付与することができるようになりました。

今回は、RBACを使ってユーザごとに権限設定を行ってみたいと思います。

まずは、条件を以下とします。

野比のび太
グループ会社の仮想マシン6VMについてすべての管理者権限を保有

骨川スネ夫
のび太三流設計事務所管理利用の2VMだけ管理可能

剛田武（ジャイアン）
のび太ホールディングスの5VMの電源管理及びオペレーションのみが可能

このケースでは、ドラえもんが管理者、のび太は、グループ会社の情シス、ジャイアンは、グループ全体の情シスオペレーターというイメージが相当であると考えられます。

通常、アカウント管理には、Active DirectoryやIDaaSなどを利用することもあるかと思いますが、今回は、Prism Centralのローカルアカウント管理で設定を行います。（もちろん、Active DirectoryやIDaaSの連携も可能です）

権限設定は以下の流れで行います。

＜設定手順＞

1. ユーザーの作成
2. カテゴリの作成
3. カテゴリの割り当て
4. オーソライズドポリシーの作成
   （RBAC権限とカテゴリ、ユーザーの紐づけ）

1.ユーザーの作成

では、初めにアカウントを作成しましょう。

Prism Centralの「Admin Center」から「IAM」画面に進み、Identitiesから「+ Add Local User」をクリックします。

アカウント情報として必要な情報を入力します。（メールアドレスは、必須ではありません）

3人分のユーザーを作成できたことを確認します。

2.カテゴリ作成

続いてカテゴリを作成します。

Prism Centralの「Infrastructure」から「Categories」を選択し、「New Category」をクリックします。

以下のようにカテゴリを作成します。

Holdings System Adminは、野比のび太に、Third-Rate Design Office System Adminは、骨川スネ夫に、System Operatorは、剛田武が利用するグループ（タグ付）としてイメージしていただければと思います。

3.カテゴリの適用

では次に、仮想マシンに対してカテゴリを適用します。

仮想マシン名	すべての管理権限	管理権限	オペレーター権限
NC-FINANCE-APDB	のび太		ジャイアン
NC-HOLDINGS-AD01	のび太
NC-LEASING-APDB	のび太		ジャイアン
NC-StructuralCalc-SV	のび太	スネ夫	ジャイアン
NC-ZUMEN-FILESV01	のび太	スネ夫	ジャイアン

まずは、のび太用のカテゴリを適用します。

「HoldingsSystemAdmin」カテゴリを適用します。

同様の手順で、スネ夫が操作できる仮想マシン2つに対してもカテゴリを適用します。

「Third-Rate Design Office System Admin」カテゴリを適用します。すでにのび太向けに適用したカテゴリがありますので、2つのカテゴリが適用されます。カテゴリを追加したらSaveをクリックしカテゴリ設定を閉じます。

最後にオペレーターであるジャイアンの分も追加します。ジャイアンは、ホールディングス全体のADは、管理対象外となりますのでそれ以外のVMを選択します。

今回は選択しているVMによって適用されているカテゴリが異なるので、既に設定されれているカテゴリは表示されません。「System Operator」のカテゴリを選択し、Saveをクリックします。

では、仮想マシンがどのカテゴリが適用されているかを最後に確認します。

カテゴリの適用一覧は、右上のViewタブでカスタマイズすることで作成可能です。

4.オーソライズドポリシーの作成

続いては、オーソライズドポリシーを作成します。

「Admin Center」から「IAM」を選択し、「+ Create Authorization Policy」をクリックします。

まずは、のび太用の管理者権限を保有したポリシーを作成します。

プロファイルの名称をカテゴリと同じ「HoldingsSystemAdmin」に変更し、ポリシー名称にデフォルトで存在する「VIrtual Machine Admin」を選択し、Nextをクリックします。

続いて、スコープ（見える範囲）の設定を行います。

「Configure access:select entity types & instances」を選択し、「All ENtity Types」を選択し「In Category」を選択し、のび太が属すカテゴリである「HoldingsSYstemAdmin」を選択します。続いてNextをクリックします。

続いて、ユーザを適用します。今回はローカルユーザの「nobita.nobi」を入力するとドロップダウンリストが表示されますので、そちらからのび太ユーザーを選択し、Saveをクリックします。

これで、のび太用の権限設定が終わりました。

では続いて、スネ夫のポリシーも作成します。先ほどの繰り返しで「Create Authorization Policy」からポリシーを作成します。スネ夫は、Virtual Machine Operatorを選択し、Nextをクリックします。

続いて同様にカテゴリ選択を行い、今度はスネ夫が属す「Third-Rate Design Office System Admin」のカテゴリを選択しNextをクリックします。

次にユーザーの追加でスネ夫を追加し、Saveします。

続いて、ジャイアンのポリシーも設定しましょう。

ポリシー作成で「VIrtual Machine Viewer」を選択し、Nextをクリックします。

続いて、のび太、スネ夫と同様にカテゴリベースで「System Operator」を選択しNextをクリックます。

最後に、ユーザーとしてジャイアンを選択し、Saveをクリックします。

これで、それぞれの権限付与が完了しました。

Authrozation Policiesの画面で作成したポリシーが表示されており、Assigned Usersがそれぞれ1になっていることを確認します。

では、次回で実際の動作について確認していきたいと思います。