管理機能

概要

Enterprise Cloud 2.0(以下、ECL2.0)では、サービスのご利用状況の確認や、サービスをご利用いただく上での様々な管理機能をポータル画面上か、APIからご利用いただくことができます。
ここでは、ECL2.0でご提供する管理機能の概要と、それをご利用いただく前提となる情報についてご説明します。

お申し込み方法

ECL2.0サービスのお申し込み方法についてご説明します。

NTTコミュニケーションズ ビジネスポータルをご利用中のお客さま

お客さまの社内ビジネスポータル管理者さまに、ビジネスポータルアカウントの作成および、本サービスの申し込みが可能となる権限設定をご依頼ください。
作成されたアカウントでビジネスポータルにログインいただくことで、オンラインでECL2.0の利用を開始することができます。
1つのビジネスポータルから複数のECL2.0サービスをお申し込みいただくことができます。
その他、ご不明な点などございましたら、弊社営業担当までお問い合わせください。

NTTコミュニケーションズ ビジネスポータルをご利用中でないお客さま

まずビジネスポータルの利用をお申込みいただく必要がございます。
ビジネスポータルのお申し込みについては、弊社営業担当へお問い合わせください。
ビジネスポータルご利用開始後、上記の通りECL2.0サービスの利用を開始することができます。

お申し込み時に必要となる情報

ECL2.0サービスのお申し込み時には、以下の情報(契約情報)が必要となりますので、あらかじめご用意ください。以下の契約情報については、お申し込み後ECL2.0ポータル上で参照することが可能です。

カテゴリ 項目
ご契約者情報 郵便番号
  住所
  部課名
  担当者名
  電話番号
  メールアドレス
請求書送付先情報 郵便番号
  住所
  会社名
  部課名
  担当者名
  電話番号
  メールアドレス

GUI/API

ECL2.0サービスではGUI、及び、APIの2種類のインターフェイスを提供します。
GUI/APIを利用することで、本サービスの各種管理機能や各サービスメニューのリソースの管理を行うことができます。

GUI

GUIの構成

ECL2.0サービスで提供するGUIの構成は以下のようになります。
GUI
お客さまはNTTコミュニケーションズビジネスポータル(以下、ビジネスポータル)にログインすることで、ECL2.0ポータルにシングルサインオンすることができます。
ECL2.0ポータルでは、主に契約全体にかかわる管理機能を提供しています。
ECL2.0ポータルから各メニュー毎のコントロールパネルを指定することで、ベアメタルサーバーや仮想サーバー、モニタリングといった各メニューのリソースをご利用いただくことができます。
また、ECL2.0ポータルのリンクから Cloud Management Platformやチケットシステムをご利用いただくこともできます。
それぞれのGUI画面で提供する機能の概要は以下の通りです。
画面 機能 概要
ECL2.0ポータル テナント管理 操作対象のテナントを選択することができます。管理ユーザーであれば、テナントの追加/削除やテナントごとにアクセス可能なユーザーの指定をすることができます。
  ユーザー管理 ユーザー情報を参照をすることができます。(管理ユーザーの画面にのみ表示されます)
  料金管理 ご利用料金明細の参照が可能です。(管理ユーザーの画面にのみ表示されます)
  プロファイル管理 自分のログインIDなど、プロファイル情報を確認することができます。またAPI鍵の情報もここで確認することができます。
  契約管理 契約情報を参照することができます。(契約代表ユーザーの画面にのみ表示されます)
Cloud Management Platform 複数クラウドサービスの一元管理 複数クラウドサービスに跨って構成されるお客さまシステムをグループ化し、1つのダッシュボードに集約することで、各種リソースを一元的管理することができます。
チケットシステム チケットシステムを利用した問い合わせ管理 故障や各種お問い合わせに対してチケットを起票し、サポートセンターへお問い合わせいただくことができます。
クラウドコンピューティングコントロールパネル 各メニューの操作、リソース管理
各メニューのリソースのご利用状況の確認および、リソースの追加/削除/変更ができます。テナント単位にGUIで管理します。
ここでは、ベアメタルサーバー、仮想サーバー、イメージ保存領域、ストレージ、ネットワーク、SD-Exchangeの各リソースを操作することができます。
モニタリングコントロールパネル モニタリングメニューの管理 各メニューの正常性・パフォーマンスが評価できるように、各種リソースの情報(メーター)を収集し、レポートする機能を提供します。
Cloud Foundryコントロールパネル Cloud Foundryメニューの管理 お客さまのアプリケーションのデプロイ、デプロイしたアプリケーションに割り当てるリソースの追加/変更、リソースの状況管理ができます。
DNSコントロールパネル DNSメニューの管理 DNSメニューの操作ができます。
セキュリティコントロールパネル セキュリティメニューの管理 セキュリティメニューの操作ができます。
Backupコントロールパネル Backupメニューの管理 Backupメニューの操作ができます。
HC with Microsoft Azureコントロールパネル Hybrid Cloud with Microsoft Azureメニューの管理 Hybrid Cloud with Microsoft Azureメニューの操作ができます。
ミドルウェアコントロールパネル ミドルウェアメニューの管理 ミドルウェアメニューの契約内容の確認やお申し込みができます。

ご利用条件

項目 内容
対応ブラウザ
Mozilla FireFox 最新版
Google Chrome 最新版
対応言語 日本語、英語(ブラウザの言語設定によって自動選択)

API

ECL2.0サービスでは、目的に応じたAPIをご利用いただくことで、サービスのほとんどの機能をAPIでコントロールすることができます。
これによって、リソースの操作をはじめ、課金状況の確認など管理系の機能もAPIからご利用いただくことができます。
もちろん、これらの操作はコントロールパネルのGUIを経由して行うことも可能ですが、APIを使うことによってより運用を自動化することが可能になります。
APIについての詳細な情報は、 APIリファレンス をご確認ください。

APIの構成

APIを利用するには、ユーザーごとに割り当てられる、「API鍵」と「API秘密鍵」が必要となります。
またAPIのリクエストはインターネット経由でAPIエンドポイントへアクセスすることでコントロールが行えます。
項目 説明
API鍵
APIアクセスを可能とするための認証に必要なIDです。このIDを使って認証することでAPIエンドポイント経由で各リソースにアクセスし、APIリクエストを送信することが可能となります。
ユーザー単位にユニークな値が割り当てられ、必要に応じて再生成することもできます。
API秘密鍵
APIアクセスを可能とするための認証に必要な秘密鍵です。IDとの組み合わせで必要となります。
ユーザー単位にユニークな値が割り当てられ、必要に応じて再生成することもできます。
API エンドポイント
APIアクセスをするためのURLを定義したものです。
このURLにアクセスすることで、アクセス認証を行ったり、APIリクエストを送信することで、各種リソースのコントロールが可能になります。APIエンドポイントは、提供リージョン、サービスメニュー毎に異なります。
API

APIを提供するメニュー

APIを提供するメニューは APIリファレンス をご確認ください。

ご利用条件

システムの健全性とお客さま環境の安全性を確保するために、APIのリクエスト数には以下の制限を設けています。

  • 200リクエスト/秒/ソースIPアドレス、または1000リクエスト/分/ユーザー

上限に達すると安全装置が働き、そのユーザーのAPIリクエストは一時的に制限されます。

契約管理

契約情報の参照

契約管理では、お客さまがECL2.0サービスをご契約の際に入力いただいた情報を、ECL2.0ポータル上で確認できます。

ご利用条件

本機能は契約代表ユーザーのみ利用いただくことができ、他のユーザーの権限では利用できません。

テナント管理

テナント

テナントとは、ECL2.0サービスで提供される各種リソースを管理するための論理的な管理単位で、ベアメタルサーバー、仮想サーバー、ロジカルネットワークといったリソースは全てテナント内に配置されます。
テナントはリージョンに所属し、お客さまは1つのECL2.0サービス契約の中で、1〜100のテナントを作成することができます。
ECL2.0の各メニューをご利用いただく際にまず、テナントを作成いただく必要があります。
またテナントごとにそのテナントへのアクセス権をユーザー単位で設定することができます。
テナント

テナントの管理

ECL2.0ポータルのテナント管理機能を利用して、テナントの作成/削除および、アクセス権の設定を行うことができます。
作成したばかりのテナントは契約代表ユーザーだけがアクセス権をもっています。他のユーザーにアクセス権を付与するには、テナント作成後にアクセスを許可するユーザーをユーザー単位に指定します。

ご利用条件

テナントを作成する際には、テナントが所属するリージョンを指定する必要があり、複数リージョンに跨ったテナントを作成することはできません。
契約代表ユーザーは全てのテナントに対してアクセス権を持ち、これを変更することはできません。
本機能は管理ユーザーのみ利用いただくことができ、一般ユーザーの権限では利用できません。

ユーザー管理

ユーザーの種類

ECL2.0サービスを契約いただくと、その契約に紐づく1つのユーザーが作成されます。この最初のユーザーを契約代表ユーザーと呼び、契約に対して1つのみ存在する特別なユーザーです。
具体的には、最初にECL2.0にアクセスし、ECL2.0契約のサインアップを実行したユーザーがその契約の契約代表ユーザーとなります。

またECL2.0ではユーザーの種別として、管理ユーザーと一般ユーザーの2種類のユーザーがあります。
管理ユーザーはテナント管理やAPI権限管理、料金管理などの管理機能へアクセスすることができます。一般ユーザーは管理機能へのアクセスはできません。
契約代表ユーザーは全ての管理権限を持つため、同時に管理ユーザーでもある事になります。契約作成直後は契約代表ユーザーだけが管理ユーザーとして管理機能へのアクセス権限を持っていますが、ユーザー種別を変更することによって、一般ユーザーを管理ユーザーに変更することも出来ます。

ユーザーの種類 管理機能へのアクセス権 テナントへのアクセス権 契約当たり作成可能ユーザー数
契約代表ユーザー(管理ユーザー) その契約におけるすべての管理機能へのアクセス権を持つ その契約に属するすべてのテナントへのアクセス権を持つ
管理ユーザー その契約におけるすべて、または一部の管理機能へのアクセス権を持つ ユーザー作成後に、テナントごとにアクセス権を設定。権限を設定したテナント以外にはアクセス不可 0~199
一般ユーザー 管理機能へのアクセス権を持たない ユーザー作成後に、テナントごとにアクセス権を設定。権限を設定したテナント以外にはアクセス不可 0〜199
ユーザー管理

一般ユーザーの追加

契約完了直後は契約代表ユーザー(管理ユーザー)のみが存在する状態となり、一般ユーザーは存在していません。その後、ビジネスポータル側でアクセス権を付与し、そのユーザーが実際に該当ECL2.0ポータルにアクセスすることで一般ユーザーとして追加されます。
ビジネスポータルからECL2.0契約をお申し込みいただき、一般ユーザーを作成するまでの流れは以下のようになります。
1.ビジネスポータル上のユーザーAがECL2.0の契約を申し込むと、ユーザーAがECL2.0契約Aの契約代表ユーザー(管理ユーザー)となります。
2.ビジネスポータル上の別のユーザー(ユーザーB)に対して、該当するECL2.0契約へのアクセス権をビジネスポータル上で設定することで、ユーザーBはそのECL2.0契約へアクセスが可能となります。
3.ユーザーBが実際に該当するECL2.0契約にアクセスする。
4.該当するECL2.0契約のユーザーとして追加されます。

ユーザー追加

注釈

既に全てのECL2.0契約に対するアクセス権を有するビジネスポータルユーザーは、ECL2.0契約が完了したタイミングで該当のECL2.0契約のユーザーとして追加されます。それ以後に該当ECL2.0契約にアクセス権を付与されたビジネスポータルユーザーは、最初にECL2.0契約にアクセスしたタイミングかビジネスポータルとECL2.0とのシステム同期のタイミング(通常1日に1回)で、該当ECL2.0契約のユーザーとして追加されます。

注釈

ビジネスポータルでの設定は、ビジネスポータルの管理者権限が必要となります。


契約代表ユーザーの変更

前述の通り、契約代表ユーザーはその契約における唯一のユーザーですが、必要に応じて他のユーザーに変更することができます。
変更する場合は、新たに契約代表ユーザーとなるユーザーを指定します。
これを実行すると、現在の契約代表ユーザは一般ユーザに変更され、管理機能へのアクセスが制限されます。

ユーザー種別変更

ユーザー種別(管理ユーザー、または一般ユーザー)を変更することが出来ます。
契約作成直後は契約代表ユーザーだけが管理機能へアクセスすることができますが、ユーザー種別変更で一般ユーザーを管理ユーザーに変更することで、ECL2.0契約の管理作業を他の管理ユーザーと分担することができます。
一般ユーザーを管理ユーザーに変更する場合、デフォルトでは全ての管理権限が付与されますが、どの管理機能の実行を許可するかをカスタマイズする事もできます。

管理ユーザーだけが実行できる機能には以下のようなものがあります。

機能 概要
ユーザー管理
契約内の他ユーザーの参照・管理を行う権限です。
一般ユーザーは自身のみ管理可能です。
テナント管理
テナントの作成、削除、アクセス権設定の権限です。ユーザー管理権限も必要となります。
一般ユーザーは自身にアクセス権が設定されたテナントの参照のみ可能です。
料金情報管理
料金情報を参照する権限です。
一般ユーザーは利用できません。
API権限管理
IAMグループおよびIAMロールの作成、編集、削除、割当て編集の権限です。ユーザー管理権限も必要となります。
一般ユーザーは自身が所属するIAMグループおよびIAMロールの参照のみ可能です。
ユーザー種別変更
ユーザー種別と操作権限を編集する権限です。ユーザー管理権限も必要となります。
一般ユーザーは自身のユーザー種別と操作権限の参照のみ可能です。

注釈

  • 契約代表ユーザーは、必ず全ての権限を持つ管理ユーザーとなります。
  • ユーザー種別変更の権限を持つユーザーは、契約内の他のユーザーの権限を任意に変更できる強い権限を持ちます。管理ユーザーの権限をカスタマイズする場合はこの権限付与については十分注意してご検討ください。

API権限管理

ECL2.0で提供するAPI権限管理

ECL2.0では、各種APIの実行権限を制御する機能を提供します。
本機能を利用することでユーザーのAPI実行権限を様々な条件で制御することができます。
条件の例:
・特定のAPIのみ実行可能(Read Onlyに制限など)
・特定のリソースに対してのみ実行可能
・特定の送信元グローバルIPアドレスからのみ実行可能など

注釈

ECL2.0で提供するGUIは、内部的には画面上の操作をその操作に該当するAPIを実行することで実現しています。 そのため、このAPI権限管理機能を利用することで、GUI上の実行権限も同様に制限することができます。


以下のような、ユーザー、IAM(Identity and Access Management)グループ、IAMロールという3つの要素によって、権限の制御を実現します。

項目 説明
ユーザー ECL2.0の契約に属する個々のユーザー(管理ユーザー、または一般ユーザー)
IAMロール
利用を許可するAPIやAPIを実行する条件をホワイトリスト形式で定義したもの
1つのIAMロールの中には複数の許可APIを設定できる
IAMグループ
IAMロールをグルーピングしたもの
ユーザーとIAMロールとの紐づける役割を果たす

以下の図のように、ユーザーは複数のIAMグループに所属することができ、IAMグループは1または複数のIAMロールによって定義されます。

User/Group/Role

IAMロールの権限定義

IAMロールは主に以下の要素によって定義されます。
下記以外にも各APIで保持する情報も任意の要素として指定することも可能で、値としてアスタリスク(*)を指定することでワイルドカードを指定することもできます。

GUIでは、典型的なロールの設定例をテンプレートとして提供していますので、このテンプレートを選択して設定することもできます。

項目 説明
ipAddress 利用を許可するアクセス元グローバル IP アドレス
basePath 利用を許可する API 名
path 利用を許可する API リソース名
verb 利用を許可する Method 名

以下は、読み取り専用(Read Only)の権限を設定する場合のロールの設定例です。

IAM_Role #1

デフォルトIAMグループ、デフォルトIAMロール

ECL2.0契約の作成時点では、デフォルトIAMグループとデフォルトIAMロールがシステムにより作成されており、作成直後の全てのユーザーはデフォルトIAMグループに紐付けられています。
デフォルトIAMロールは全てのAPIに対して実行許可が定義されており、デフォルトIAMグループに紐づけられているため、初期状態では全てのユーザーはそのユーザー種別の中で実行可能な全てのAPIの実行権限を有します。

デフォルトのIAMグループ、デフォルトのIAMロールは、削除することはできません。
また、管理ユーザーは、デフォルトIAMグループから外れることはできません。

権限の判定

1のユーザーが複数の権限設定に紐づく場合は、以下の判定方法にもとづき、権限判定を行います。

注釈

API権限管理による権限設定は、ユーザー種別による権限(管理ユーザー、または一般ユーザー)と、テナントアクセス権による権限とあわせて評価されます。 例えば、テナント作成の操作は管理ユーザー権限が必要なため、一般ユーザーに対してAPI権限管理機能で権限を付与したとしても実行することはできません。また、テナントアクセス権を持たないテナントに属するリソースに対する操作も、設定することは可能ですが、実行は出来ません。 ユーザー種別については「ユーザー管理」を、テナントアクセス権については「テナント管理」の章をご参照ください。


1.IAMロールが複数の権限定義で構成される場合 → A or B

pattern_1

以下の例では、このグループに紐づくユーザーは、「 仮想サーバーの作成(POST)、または編集(PUT)が可能」という設定となります。

pattern_1_config

2.ユーザーが1つのIAMグループに属し、IAMグループが複数のIAMロールで定義される場合 → A and B

pattern_2

以下の例では、IAM Role #2-1で指定した権限を実行可能ですが、IAM Role #2-2によって、「テナントIDが”123456789”の場合」という条件をAND条件で設定できます。

pattern_2_config

3.ユーザーが複数のIAMグループに属し、IAMグループが複数のIAMロールで定義される場合 → A or B

pattern_3

以下の例では、IAM Group #1で契約全体に対して読み取り専用の権限を付与した上で、Group #2によってテナントID 1234567890に属する仮想サーバーの作成と編集を許可する設定となります。

pattern_3_config

ご利用条件

・本機能は管理ユーザーのみ設定することができ、一般ユーザーの権限では設定はできません。
・本機能で管理ユーザーしか実行できない機能の実行権限を一般ユーザーへ付与することはできません。
・IAMロールとして制御可能な内容は、APIリクエストの実行権限であり、APIリクエストの実行結果(レスポンス)を制限することはできません。
・以下のメニューについては、本機能をご利用いただくことができません。
  セキュリティ、バックアップ、Hybrid Cloud with Microsoft Azure、ミドルウェア

注釈

詳細な設定方法は API権限管理機能のご利用方法 をご確認ください。


許可機能

許可機能の概要

許可機能とは、ユーザーの利用する機能が他のユーザーに承認を得た上で利用される必要がある時に、その承認依頼の発行や依頼に対する承認可否の回答ができる機能です。
許可機能では、テナントや契約、ユーザーに関する許可依頼が発行されます。
例えば、ECL2.0では全てのリソースはテナント内に配置され、その動作の影響がおよぶ範囲もテナント内に限定されますが、あるユーザーがテナントを超えて他のテナントのリソースに対して影響を与える操作を実行しようとする際、対向テナントのユーザーから許可を得る必要があります。
この場合、他テナントへ影響を与える操作の実施者がリクエストを発出し、これを対向のテナントのユーザーが承認することで所望の操作を実現することができます。許可機能は契約を超えて利用することもできます。

approval_request

許可機能の具体的な利用シーンとして、テナント間を接続するEnterprise Cloud2.0接続機能があります。
これは、接続元テナントのファイアウォールと接続先テナントのロジカルネットワークとを接続することで、テナントを超えてネットワークコネクティビティを提供するものです。
Enterprise Cloud2.0接続については、こちら Enterprise Cloud2.0接続機能 をご覧ください。

認可リクエストのパラメータ

許可リクエストには、以下のようなパラメータを含みます。
ユーザーが指定できるパラメータは、許可リクエストを発出する側のメニューによって異なります。

パラメータ 説明
リクエストID 自動で付与されます
ステータス
許可リクエストの現在のステータス
詳細は次項にて説明します。
承認対象ID
承認対象を示すID
下記のタイプによって、テナントID、契約ID、ユーザーIDをそれぞれ指定します。
承認タイプ
実際の承認行為は、承認タイプと上記の承認対象IDによって指定されたユーザーであれば、どのユーザーでも実施することができます。
承認タイプには、以下のようなものがあります。

tenant: 指定されたテナントIDのテナントに対するアクセス権を持つ全ユーザー
tenant_owner: 指定されたテナントIDのテナントを持つ契約の管理ユーザー
contract: 指定された契約IDの契約に所属する全ユーザー
contract_owner:指定された契約IDの契約の管理ユーザー
user:指定されたユーザーIDのユーザー
アクション 承認後に行われる行為の内容
許可リクエストの回答期限 有効期限が切れたリクエストは「回答期限切れ」のステータスとなり、承認などの実施は出来なくなります。
承認の有効期限
承認されたリクエストが効力を発揮する期間の有効期限
承認のタイミングから30日後の日時が登録され、変更は出来ません。
この期限を過ぎると、一度承認されたアクションも無効となり、継続したい場合は再度許可リクエストを生成する必要があります。

許可リクエストの状態

許可リクエスト情報のステータスは以下の様なものがあります。

ステータス 説明
承認待ち リクエスト元ユーザーによって許可リクエストが生成された直後の状態
取り下げ
リクエスト元ユーザーによって、許可リクエストが取り下げられた状態
本ステータスに変更後は別ステータスへの変更は出来ません。
承認
リクエスト先ユーザーによって、許可リクエストが承認された状態
有効期限が切れるまでは本ステータスが保持されます。
却下
リクエスト先ユーザーによって、許可リクエストが却下された状態
本ステータスに変更後は別ステータスへの変更は出来ません。
回答期限切れ
許可リクエストの回答期限切れ
指定された許可リクエストの回答期限を過ぎても、リクエスト先で承認等が実施されない場合に、このステータスに移行します。
有効期限切れ
承認の有効期限切れ
指定された承認の有効期限を過ぎた場合にこのステータスに移行します。

許可リクエストの通知

許可リクエストが登録されると、リクエスト登録者と承認者に指定されたユーザーに対してメール通知を行います。
また、そのリクエストが承認、否認、取り下げられた場合も同様にメール通知します。


料金管理

料金情報の参照

ECL2.0ポータルから本サービスのご利用料金明細を確認いただくことができます。
明細はご利用いただいたテナント単位、メニュー単位、リソース単位で表示し、前日までのご利用実績にもとづき画面表示します。
過去24ヶ月分を遡って表示することができます。
また、画面に表示された料金情報はCSVファイルとしてダウンロードすることができます。APIを利用することでも料金情報を取得することができます。

ご利用条件

本機能は管理ユーザーのみ利用いただくことができ、一般ユーザーの権限では利用できません。

通知設定管理

ECL2.0では、サービスに関して以下のようなメール通知を実施します。



メール通知カテゴリ
契約代表ユーザー
契約代表ユーザー以外
通知内容
お知らせ/リリース情報
新メニュー/機能追加などのお知らせ、仕様変更などに関するお知らせ
故障
○(変更不可)
○※
故障情報の通知
※契約代表ユーザー以外のユーザーに対しては、該当するテナントにアクセス権を持つ場合に通知します
メンテナンス
○※
メンテナンス情報の通知
※契約代表ユーザー以外のユーザーに対しては、該当するテナントにアクセス権を持つ場合に通知します


  • ユーザーは上記の初期状態から自身が受信するメールを選択することができます(受信しないメールをチェックアウトすることができます)
  • ただし、契約代表ユーザーは、故障通知の受信は変更することができません
  • ユーザー管理権限を持つ管理ユーザーは、他のユーザーの受信選択を操作することができます

上記とは別に、契約担当者(ECL2.0新規申し込みのオンラインサインアップ画面上で入力した担当者メールアドレス)に対して、規約や料金についてのお知らせメールを送信する場合があります。