クラウドアカウントはクラウドの認証情報と呼ばれることもあります。皆さんのクラウドリソースから一部の情報にアクセスするには、クラウドの認証情報を初期化する必要があります。例えば、Amazon Web Services(AWS)の場合はアクセスキーとシークレットキーが必要です。Azureの場合はアプリの登録が必要です。GCPの場合はサービスアカウントが必要です。
Azureクラウドの認証情報を作成するには、以下のような設定と情報を集める必要があります。
Azure Cloud Credential: 対応するロールでアプリ登録を行う
- Cloud Expense: コストと請求ポリシー
- Cloud Safe: セキュリティ監査ポリシー
- Cloud Automation: リソースポリシー
1. Azureにログインしてアプリ登録を行う
LogMicrosoft Azureにログインして、Azure Active Directory > App registrations > New application registrationを選択する。
b) 名前を入力してアプリケーションを識別する(例:CloudExpense-credential)。次にSupported account typesを選択し、Accounts in this organizational directory onlyを選択する。Redirect URIとしてhttps://dxcloudsuite.io/を入力し、Register をクリックする。
c) CloudSuiteアプリケーションのクライアントシークレットキーを生成する。
- Azure Active Directory > App Registrations > All Applicationsを選択して、アプリケーションを選択する。
- クライアントシークレットキーまたはアプリケーションのパスワードを入れる(Certificates & Secrets > New client secret)。
- 説明(例:CloudSuite_Expenseシークレットトークン)を入力し、Duration(例:2 年)を選択する。
- 本ダイアログを閉じたら、このキーが見えなくなるので、ご使用のレコードのためのその新しいクライアントシークレットキーの値をコピーしておきます。CloudSuiteでAzureサブスクリプションを追加するときに、この新しいクライアントシークレットキーが必要になります。
2. アプリケーションにアクセス許可を付与する
セキュリティリスクを最小限に抑えるために、最小権限の原理を基づいたCloud Credentialのポリシーを提供します。
Cloud Apps | Corresponding role |
---|---|
Cloud Safe | リーダー |
Cloud Expense | リーダー カスタムロール(拡張ロール) "Microsoft.Storage/storageAccounts/listkeys/action", "Microsoft.CostManagement/query/action", "Microsoft.CostManagement/forecast/action" |
Cloud Automation | コントリビュータまたはご使用のテンプレートに応じる |
注意:ロールを割り当てるには、皆さんのAzureサブスクリプションに対応するオーナーまたはユーザーアクセス管理者の権限を持つ必要があります。
Cloud SafeのReader、Cloud ExpenseのReader、Cloud AutomationのContributor等、ご使用のアプリケーションに関連付けられているAzure定義済みポリシーを添付します。
a) All Services > Subscriptionsを選択する。
b) サブスクリプションを選択し、ロールの割り当てを追加する Access Control (IAM)
c) Roleを選択し、Azure ADのユーザー、グループ、またはサービスプリンシパルが選択されていることを確認し(Assign access to)、対応するロールを割り当てるアプリを選択する。
Attach added custom role which is associated with your application by downloading the policy and paste to the inline poポリシーをダウンロードしてインラインポリシーに貼り付けることで、アプリケーションに関連付けられている追加のカスタムロールを添付する
"Microsoft.Storage/storageAccounts/listkeys/action", "Microsoft.CostManagement/query/action", "Microsoft.CostManagement/forecast/action"
Attac追加したカスタムロールをCloudSuiteアプリケーションに添付する
3. CloudSuiteアプリケーションに関する情報を取得する
a) All Services > Subcriptionsを選択し、Subscription IDをコピーする
b) Azure Active Directory > App Registrations > All Applicationsを選択し、今作成したCloudSuiteアプリケーションを開いて、Directory ID、Application IDをコピーする
c) 以前にアプリケーションを作成したときに生成されたSecret IDをコピーする
4. クラウドアカウントにパラメーターを入力する
Cloud Identity に移ってCloud Credentialを登録します。
- サブスクリプションID: **********
- アプリケーションID: **********
- テナントID: **********
- シークレットキー: **********