接続
フローはクラウドリソースへの直接アクセスなしで実行できますが、一部のフローはクラウドリソースの作成・変更・削除を行う場合があります。フローによるクラウドリソースへのアクセスは、接続を使用して制御されます。接続には、フローがクラウド上でアクションを実行するために必要なロールと権限が含まれます。
さらに、あなたの権限に応じて、誰が接続やフローを作成できるかを制御できます。この分離により、次のことが可能になります。
-
最小権限の原則を徹底し、ユーザーにクラウ��ドリソースへのアクセス権を与えることなく、接続やフローの作成・構築権限のみを付与できます。
-
フローデベロッパーのロールとクラウドリソースマネージャーのロールを分離できます。フローデベロッパーはフローのビジネスロジックに集中でき、DevOps や FinOps チームはフローが使用する接続と権限を管理・監査できます。
-
権限更新のプロセスを効率化できます。フローに新しい権限が必要になった場合でも、セキュリティチームはそのフローが使用する接続を更新するだけで済み、フローを作成したユーザーには影響しません。これにより、複数のフロー間で接続や権限を再利用しやすくなります。個々のフローごとに権限を管理する代わりに、単一の接続に対して権限を管理し、その接続を複数のフローで使用できます。
例えば、FinOps 部門責任者が必要な接続のセットアップを担当するとします。FinOps 部門責任者は接続へのアクセス権を Technical Lead に付与することで管理を委任します。Technical Lead はチーム向けのフローを構築する際に、その接続を使用します。Technical Lead は他のユーザーをフローの利用者として招待できますが、基盤となる接続へのアクセス権を与える必要はありません。
アクセスレベル
接続のアクセスレベルは、Owner・Editor・User の 3 種類があります。接続を作成する際にアクセスレベルを割り当てます。次の表は、各アクセスレ��ベルに関連付けられた接続の権限を示しています。
| 権限 | Owner | Editor | User |
|---|---|---|---|
| Create | ✓ | ✓ | |
| Access | ✓ | ✓ | ✓ |
| Edit | ✓ | ✓ | |
| Delete | ✓ |
さらに、接続に対するあなたのアクセスレベルに応じて、テナント内の他ユーザーと接続の所有権を移転したり、接続を共有したりできます。
権限の階層
CloudFlow と接続の権限モデルは、権限とアクセスレベルに基づいています。
フローには接続が含まれる場合と含まれない場合があります。すべての接続は、クラウドプロバイダー上であなたに代わってアクションを認可するために使用されるクラウドプロバイダ��ーのロールと権限で設定する必要があります。
次の図は、CloudFlow と接続の権限およびアクセスレベルの関係を示しています。
接続の設定
接続の設定には 2 つのステージがあります。
-
接続を作成します。次のいずれかを実行できます。
-
既存の権限から作成:すでに DoiT Cloud Intelligence に接続されている AWS アカウントまたは GCP リソースの既存の権限を再利用します。インポートする接続済みの AWS または GCP リソースを選択します。あなたが接続の Owner です。Manage permissions で他の DoiT ユーザーへのアクセスを割り当てることができます。
-
新しい接続を作成:フローがアクセスするクラウドリソースに応じて、AWS または GCP の接続を作成します。接続用のスコープやポリシーを定義し、IAM ロールまたはサービスアカウントをデプロ�イしたい場合に選択します。User access で他の DoiT ユーザーへのアクセスを割り当てることができます。
アカウントやリソースがすでに DoiT Cloud Intelligence に接続されており、フロー用の接続だけが必要な場合は、Create connection from existing permissions を選択してください。専用の CloudFlow IAM ロールまたはサービスアカウント、カスタムスコープ(例えば AWS の組織単位)、もしくは個別のポリシーが必要な場合は、Create connection を選択してください。
-
-
接続を追加します。最後に、フローを設定する際に、必要に応じて接続を追加してください。接続はフローレベルとノードレベルの両方で使用できます。