Connections

フローはクラウドリソースへの直接アクセスなしでも実行できますが、一部のフローはクラウドリソースの作成・変更・削除を行う場合があります。フローがクラウドリソースへアクセスする際は、コネクションを使用して制御します。コネクションには、フローがクラウド上でアクションを実行するために必要なロールと権限が含まれます。

さらに、権限に応じて、誰がコネクションやフローを作成できるかを制御できます。この分離により、次のことが可能になります。

• 最小権限の原則を徹底できます。ユーザーにクラウドリソースへのアクセス権を与えることなく、コネクションやフローをビルド・作成する権限を付与できます。

• フローデベロッパーとクラウドリソースマネージャーの役割を分離できます。フローデベロッパーはフローのビジネスロジックに集中し、DevOps・FinOps チームはフローが使用するコネクションと権限を管理・監査できます。

• 権限更新のプロセスを合理化できます。フローに新しい権限が必要になった場合でも、セキュリティチームがそのフローで使用しているコネクションを更新するだけで、フローの作成者に影響を与えません。これにより、複数のフロー間でコネクションと権限を再利用しやすくなります。各フローごとに個別の権限を管理するのではなく、単一のコネクションに対して権限を管理し、そのコネクションを複数のフローで使用できます。

たとえば、FinOps 責任者が必要なコネクションの設定を担当します。FinOps 責任者はテクニカルリードにコネクションへのアクセス権を付与して管理を委任します。テクニカルリードは自分たちのチーム向けのフローをビルドする際にこれらのコネクションを使用します。テクニカルリードは、基盤となるコネクションへのアクセス権を与えることなく、他のユーザーをフローに招待します。

Access levels

コネクションのアクセスレベルは、Owner・Editor・User の 3 種類です。アクセスレベルはコネクション作成時に割り当てます。次の表は、各アクセスレベルに関連付けられたコネクションの権限を示します。

Permissions	Owner	Editor	User
Create	✓	✓
Access	✓	✓	✓
Edit	✓	✓
Delete	✓

さらに、コネクションに対するあなたのアクセスレベルに応じて、テナント内の他のユーザーとコネクションの所有権を移譲したり、共有したりできます。

Permissions hierarchy

CloudFlow と connections の権限モデルは、権限とアクセスレベルに基づいています。

フローはコネクションを含む場合と含まない場合があります。すべてのコネクションは、クラウドプロバイダ上であなたに代わってアクションを許可するために使用されるロールと権限で設定する必要があります。

次の図は、CloudFlow とコネクションの権限およびアクセスレベルの関係を示しています。

Configure connections

コネクションの設定は 2 段階で行います。

1. コネクションを作成します。次を実施してください。

   • フローがアクセスするクラウドリソースに応じて、AWS または GCP 向けのコネクションを作成します。

   • 必要に応じて、コネクションに connection permissions を付与し、クラウドリソースの作成・アクセス・更新・削除を可能にします。

   • コネクションを使用する DoiT アカウントを 1 つ以上割り当てます。これには、DoiT コンソールで作成した DoiT アカウントと、DoiT プラットフォームに接続されているクラウドの請求アカウントの両方が含まれます。

2. Add a connection。最後に、フローを設定する際に、必要に応じてコネクションを追加します。コネクションはフロー単位およびノード単位の両方で使用できます。