サービスプロバイダーの組織内でのドメインアドミニストレーターのアクティビティ

次のセクションでは、サービスプロバイダーが管理する会社に対してドメインアドミニストレーターが実行するアクティビティを一覧表示します。クラウド管理ポータルを使用して、サービスアカウントとクラウドアカウントを設定します。ユーザーがプロビジョニングしたりライフサイクル運用を実行する前に、クラウドリソース用に設定可能な事前プロビジョニング操作を作成します。

強力なユニバーサルプロセス標準、データ主導型のプロセス設計、厳格なガバナンス、および集中管理により、単一インスタンス内の クラウドプロビジョニングとガバナンス でのドメインセパレーションのこれらのメリットを最大限に活用できます。ドメイン admin ロールは、サービスプロバイダーの組織内のユーザーに厳密に制限され、顧客の組織のクラウドアドミンユーザーにはアサインされません。この制限により、SP は、顧客が他のドメインのデータにフルアクセスしないようにできます。データは複数のクライアント間で共有されるため、ドメインアドミンはデータ漏洩につながる可能性のあるアクセス許可を公開したり提供したりしないでください。

クラウドリソースのプロビジョニング

• 関連するサービスアカウントを各ドメインのクラウドアカウントにマップしていることを確認します。たとえば、Azure クラウドからプライマリサブスクリプションを検出すると、1 つ以上の子サービスアカウントが作成され、それらは同じドメインに作成されます。つまり、Azure クラウドのマスターサブスクリプション内のすべてのサービスアカウントは、単一の会社とドメインだけに属している必要があります。

  root_admin または cloud_admin ロールを持つユーザーでログインし、クラウドおよびサービスアカウントの設定や、任意ドメインの検出を実行しします。ディスカバリーまたはクラウドアカウントとサービスアカウントの作成とマッピングなどのアクションを実行する場合は、ドメインピッカーを使用します。

  注:

  • クラウドプロビジョニングとガバナンス では、ドメインスコープの展開と折りたたみの機能はサポートされていません。
  • ユーザーがアクセスできるものとアクセスできないものの詳細については、「ドメインスコープ」を参照してください。

  サービスアカウントは、プロバイダーアカウントの認証情報とアクセス情報を保存するインスタンスの安全なレコードです。ディスカバリーはこの情報を使用してプロバイダーアカウントにアクセスし、指定された各データセンターでリソースごとにデータを取得します。クラウドアカウントは、管理対象のクラウドインフラストラクチャのすべてまたは一部の クラウドプロビジョニングとガバナンス における論理的な表現です。クラウドアカウントには、複数のサービスアカウント (異なるプロバイダーのサービスアカウントを含む) を含めることができます。サービスアカウントごとに、クラウドアカウントに含めるデータセンターを指定します。

  管理キーとサービスアカウント認証情報が各ドメインに固有で、共有されていないことを確認します。複数のクラウドプロバイダーに対してクラウドアカウントとサービスアカウントをセットアップするには、1 日目のセットアップアクションを実行します。

  • クラウドプロビジョニングとガバナンスでの Amazon Web サービスの 1 日目のセットアップガイド
  • Azure の 1 日目のセットアップガイド: クラウドプロビジョニングとガバナンス
  • クラウドプロビジョニングとガバナンスでの Google Cloud Connector の 1 日目のセットアップガイド
  • VMware に対する 1 日目のセットアップガイド: クラウドプロビジョニングとガバナンス
• クラウド API (CAPI) およびクラウドスクリプトとクラウドスクリプトテンプレート

  ドメインセパレーションは クラウドプロビジョニングとガバナンス でサポートされるため、CAPI はドメインセパレーションされていません。CAPI はグローバルドメインでセットアップされてリーフドメイン間で共有されるため、ハードコードされた機密情報 (アカウントの詳細、認証情報、名前など) がスクリプトに (コメントや注釈の中にも) 含まれないようにします。

  CAPI を使用すると、REST API を使用してクラウドプロバイダーと クラウドプロビジョニングとガバナンス をデータ連携できます。クラウドスクリプトは、プラットフォーム機能を使用するシンプルな Java スクリプトです。クラウドプロビジョニングとガバナンス アプリケーションでは、スクリプトの実行はクラウドスクリプトとクラウドスクリプトテンプレートに分割されます。テンプレート、リソースブロック、OS プロファイルでスクリプトを使用し、ポリシースクリプトを使用して要求フォーム属性を設定します。ポリシースクリプトがユーザーデータをオーバーライドすることはできません。クラウドスクリプトテンプレートは、実行のターゲットである仮想マシンに渡される実際の実行可能ファイルです。クラウドテンプレートを作成してから、それをクラウドスクリプトに関連付ける必要があります。

• クラウドディスカバリー

  サービスプロバイダー (SP) はドメインセパレーションを使用して、各顧客のデータを分離します。指定されたドメイン内のユーザーは、自分のドメインまたは子ドメイン内のデータのみを可視化できます。通常、SP はトップレベルドメインを制御します。これにより、すべてのドメインに関連付けられたデータを可視化することができます。ディスカバリーのドメインセパレーションサポートはレベル 2 とみなされますが、クラウドプロビジョニングとガバナンス の子ドメインに委任される管理権限は発生しません。SP は管理権限のコントロールを保持する必要があります。SP は、クラウドリソースを検出するために、ドメインアドミニストレーターとしてログインするかドメインアドミニストレーターの代理として、常にリーフドメインからディスカバリーを実行します。

  クラウドディスカバリーには、単一のインターフェイスでクラウドのスケジュールを作成して実行できるウィザードが用意されています。ディスカバリーマネージャーでスケジュールを作成する際に、検出するアカウントを選択し、アカウントにアクセスするための認証情報と、リソースをスキャンする MID サーバーを選択します。その後、ディスカバリーホームページで結果を表示し、発生した可能性があるエラーを追跡できます。

  詳細については、次を参照してください。

  • ディスカバリーマネージャー
  • ネットワーク内でのディスカバリーの実行
    • Microsoft Azure クラウドディスカバリー
    • VMware クラウドディスカバリー
    • Google Cloud Platform クラウドディスカバリー
    • IBM クラウドディスカバリー
• イベント管理をセットアップおよび構成して、外部イベントを受信し、イベントおよびアラート管理ルールに基づいてアラートを生成します。イベントの可視化は、関連付けられているサービスアカウントのドメインによって異なります。そのドメインに属するユーザーのみが、処理されたイベントのイベント詳細を表示できます。サービスアカウントに関連付けられていないイベントは、すべてのドメインに表示されます。

  単一の管理コンソールを使用してビジネスサービスおよびインフラストラクチャの健全性を監視し、発生した問題に適切に対応します。イベント管理は、ビジネスサービスのパフォーマンスを確実に継続するためのインテリジェントなイベントとアラート分析を提供します。イベント管理は、MID サーバーを介してイベントを受信し、処理します。

  詳細については、次を参照してください。

  • イベント管理の詳細
  • イベント管理のセットアップ
    • AWS イベント駆動型ディスカバリー
    • CMDB を自動更新するように Microsoft Azure アラートサービスを設定する
    • を自動更新するための Google クラウドロギングサービスの構成 CMDB
    • CMDB を自動更新するように VMware サービスを設定する

• クラウドプロビジョニングとガバナンス アプリケーションは、継続的デリバリーソリューション (構成管理とも呼ばれます) とのデータ連携をサポートします。Ansible または Terraform 構成管理プロバイダーを作成し、そのプロバイダーで ディスカバリーを実行してリソースを検索します。それぞれの新しい構成管理プロバイダーの詳細については、「継続的デリバリ (構成管理) のサポート」および「作業負荷プロバイダータイプの作成」を参照してください。この情報は、構成管理プロバイダーを通じて仮想リソースをプロビジョニングするときにユーザーが選択できる管理属性として、[注文カタログ] フォームに表示されます。

• terraform テンプレートに基づいてカタログを作成し、そのカタログを複数のドメインと共有する場合。グローバルドメインでモジュールの一覧表示 (構成ディスカバリー) を実行します。MID サーバー はグローバルドメインで作成し、そのディスカバリーのために Terraform 機能のみアサインする必要があります。これにより、SP は複数のドメインとカタログを共有できます。

  警告:

  Terraform の構成管理以外の機能を備えたグローバル MID サーバー は作成しないでください。

  共通の Terraform カタログを作成して複数の顧客と共有：

  • グローバルアドミニストレーターとしてグローバルドメインで MID サーバー を作成します。
  • Terraform オープンソース構成プロバイダーを作成します。
    注:

    構成プロバイダーとして「Terraform」のみを追加します。
  • Terraform テンプレートに基づいてカタログアイテムを作成します。

• クラウドプロビジョニングとガバナンス は、サブフローでの ServiceNow AI Platform の使用をサポートしています。ルールは、条件とアクションの集合です。​ルールのすべての条件が「true」と評価された場合、システムはアクションを実行します。いずれかの条件が false と評価された場合、システムはアクションを実行しません。ルールを作成すると、アクティビティを追跡し、よりすばやく問題に対応して解決できるようになります。フローデザイナーのサブフローを活用して、Day 2 の操作を自動化します。クラウド API または特定のリソースと通信するサブフローをすばやく書き込みます。SSH、PowerShell、または類似のツールを使用してサブフロー機能にアクセスしてから拡張します。詳細については、「 サブフローを使用した 2 日目の操作」を参照してください。

• 予算ベースの通知および承認

  クラウドプロビジョニングとガバナンス でのドメインセパレーションは、予算のデータ分離をサポートします。ドメイン固有の予算を割り当てることができます。グループおよびグループ内のユーザーに予算をアサインします。ユーザーやグループが予算のしきい値制限に達すると、それに関するアラートの通知がユーザーやグループに送信されます。詳細については、「予算の構成」を参照してください。

  • クラウドリソースのタグの作成

    タグは、クラウドリソースを分類して、より豊富で詳細な追跡および請求処理レポートデータを提供します。タグキーはドメインセパレーションされず、他のドメインのユーザーに表示されます。タグの可視化は、関連付けられている CI ドメインまたは関連する請求処理記録ドメインによって異なります。CI または請求処理レコードに関連付けられていないタグは、すべてのドメインアドミンに表示されます。タグが作成されると、作成した新しいカタログに表示されます。クラウドアドミンは、カタログに必要なタグを選択する必要があります。

  • 請求処理データは、ドメインごとに分離されて表示できます。請求処理ジョブは、構成されたサービスアカウントのドメインを使用します。請求処理のセットアップを構成すると、クラウドアドミンおよびクラウドユーザーは、請求処理ダッシュボードでクラウド請求処理データやクラウドタグの使用状況などのレポートを表示できます。

    MID サーバーを定期的に使用して請求処理データをプロバイダーからダウンロードする、スケジュール済みジョブを定義します。クラウドプロビジョニングとガバナンス でデータがコストテーブルに保存され、その情報を使用してレポートが生成されます。

    請求処理スケジュールのセットアップと請求処理レポートのダウンロードの詳細については、以下を参照してください。

    • AWS 請求処理データをダウンロードするスケジュールの定義
    • Azure 請求処理データをダウンロードするスケジュールの定義

次の手順

//var orderContext = json.decode(workflow.inputs.ordercontext) ;
new CMPDomainSeparationUtil() .impersonateUser(current.request.requested_for);

インスタンスで管理している各ドメインで利用できる クラウドプロビジョニングとガバナンス ライフサイクル操作の実行の詳細については、「クラウドユーザーポータル」を参照してください。