Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチ...
Search
高棹大樹
April 24, 2024
Technology
1.1k
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について
高棹大樹
April 24, 2024
More Decks by 高棹大樹
See All by 高棹大樹
徹底討論!ECS vs EKS!
daitak
3
1.8k
金融システムで挑む!EKS Auto Mode導入ポイント大全
daitak
0
120
インフラエンジニア必見!Kubernetesを用いたクラウドネイティブ設計ポイント大全
daitak
1
740
EKS CapabilitiesでKube Resource Orchestrator(KRO)を試してみた!
daitak
0
130
Kubernetesと共にふりかえる! エンタープライズシステムのインフラ設計・テストの進め方大全
daitak
0
870
金融システムをモダナイズするためのAmazon Elastic Kubernetes Service(EKS)ノウハウ大全
daitak
1
250
CBになったのでEKSのこともっと知ってもらいたい!
daitak
1
310
金融システムをモダナイズするためのAmazon Elastic Kubernetes Service(EKS)ノウハウ大全
daitak
0
270
AWS re:Invent 2024で発表されたアップデート/EKSオートモード使っていきましょう!
daitak
1
270
Other Decks in Technology
See All in Technology
When Platform Engineering Meets GenAI
sucitw
0
200
スタートアップにおけるアジャイルの実践について #shibuyagile
murabayashi
1
200
Why is RC4 still being used?
tamaiyutaro
0
240
どうして今サーバーサイドKotlinを選択したのか
nealle
0
140
なぜ人は自分のプロジェクトを 「なんちゃってアジャイル」と 自嘲するのか
kozotaira
0
190
フルAIで個人開発して学んだあれこれ / yuruai vol.1
isaoshimizu
0
160
【FinOps】データドリブンな意思決定を目指して
z63d
2
510
水を運ぶ人としてのリーダーシップ
izumii19
4
1.1k
作る力から、見極める力へ — AI時代に広がるエンジニアの価値と役割
rince
0
370
SRE歴2ヶ月でも開発6年の知見を活かして、チームで止まっていた環境改善を前に進めた話
a_ono
0
140
AI 不只幫你寫 Code: 當專案從 300 暴增到 1500, 我們如何撐住 DevOps
appleboy
0
290
トークン最適化のためのユーザーストーリー分析 / User Story Analysis for Token Optimization
oomatomo
0
140
Featured
See All Featured
How to train your dragon (web standard)
notwaldorf
97
6.7k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
aleyda
2
11k
Improving Core Web Vitals using Speculation Rules API
sergeychernyshev
21
1.5k
Effective software design: The role of men in debugging patriarchy in IT @ Voxxed Days AMS
baasie
0
440
Between Models and Reality
mayunak
4
360
Color Theory Basics | Prateek | Gurzu
gurzu
0
370
The SEO Collaboration Effect
kristinabergwall1
1
490
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
49
3.5k
How People are Using Generative and Agentic AI to Supercharge Their Products, Projects, Services and Value Streams Today
helenjbeal
1
220
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
10
1.2k
Kristin Tynski - Automating Marketing Tasks With AI
techseoconnect
PRO
0
280
Leading Effective Engineering Teams in the AI Era
addyosmani
9
2.1k
Transcript
Amazon Managed Grafanaのアクセス制御機能と マルチテナント環境下でのアクセス制御について Grafana Meetup Japan #1 2024年4月24日 株式会社野村総合研究所
マルチクラウドインテグレーション事業本部 金融基盤サービス部 高棹 大樹
1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
高棹 大樹 – Daiki Takasao NRI 金融基盤サービス部 • 金融機関様向けEKSを用いたマイクロサービス共通基盤 のインフラ担当 主な仕事 趣味 最近の困り事 • キャンプ • 筋トレ • 子供と遊ぶ(相手をしてくれる内に。。) • 飼っている猫が懐いてくれない
2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
はじめに ◼Grafanaをマルチテナント環境で使う際、アクセス制御しつつも開発エンジニアが自由にGrafana を触れる余地も残す(ベスト)プラクティスについてお話しさせて頂きます
3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
Amazon Managed Grafanaが持つアクセス制御機能 01 マルチテナント環境下でのアクセス制御プラクティス 02
4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
Amazon Managed Grafanaのアイデンティティ 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼ユーザ ⚫ Grafanaにログインする個々人 ⚫ IAM Identity CenterもしくはSAML連携して使う前提であり、初回ログインで自動で作成される(手動でユーザを 作成する事はできない) ◼チーム ⚫ ユーザをチームに所属させて使う ⚫ 同じユーザを複数のチームに所属させる事が可能 ユーザ1 ユーザ2 Aチーム Bチーム ユーザをチームに所属させる 同一ユーザを複数チームに所属させる事が可能
5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
Amazon Managed Grafanaのオブジェクト 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼フォルダ、ダッシュボード、パネルの階層構造を持つ フォルダA ダッシュボード パネル(グラフ等) パネル パネル ダッシュボード パネル パネル ・ ・ ・ フォルダB ダッシュボード パネル(グラフ等) パネル パネル ダッシュボード パネル パネル ・ ・ ・
6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
Amazon Managed Grafanaのロール 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼Admin/Edit/Viewの3つのロールを持つ ◼ロールは各ユーザに1つづつ紐付く ◼ロールはチームには紐付けられない アクション Admin Edit View データソースの追加、編集、削除 ◦ × × ユーザ、チームの追加および編集 ◦ × × フォルダの追加、編集、削除 ◦ × × ダッシュボード・パネルの追加、編集、削除 ◦ ◦ × Explore機能の利用 ◦ ◦ × ダッシュボード・パネルの参照 ◦ ◦ ◦ ユーザ1 ユーザ2 Aチーム Bチーム Edit View Edit
7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
オブジェクト側でのアクセス制御設定 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼フォルダとダッシュボードにアクセス制御設定を行う事が可能 ◼ユーザロールの権限レベルとオブジェクトの権限レベルで強い方が優先される ◼フォルダに設定したアクセス許可設定はフォルダ内のダッシュボードに継承される フォルダ ダッシュボード パネル(グラフ等) パネル パネル ダッシュボード パネル パネル アクセス許可設定 ユーザ2 View Can Edit Aチーム Can View View<EditなのでEdit権限で操作可能 ・ ・ ・ アクセス許可設定 継承 継承 アクセス許可設定
8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
オブジェクト側でのアクセス許可設定 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼フォルダとダッシュボードに設定できるアクセス許可設定は以下の通り 特定のチーム(Aチーム or Bチーム or etc..) 特定のユーザ(ユーザ1 or ユーザ2 or etc..) Viewロールを持った全てのユーザ Editロールを持った全てのユーザ Can Admin Edit View
9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
Amazon Managed Grafanaが持つアクセス制御機能 01 マルチテナント環境下でのアクセス制御プラクティス 02
10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
実現したいこと 2.マルチテナント環境下でのアクセス制御プラクティス ◼1つGrafana(ワークスペース)上でマルチテナントのダッシュボードを一元管理したい → データソース設定や認証設定から開発エンジニアを解放 認知負荷軽減、管理の効率化 ◼他サービスのダッシュボードは参照したいけど、勝手に更新されるのはNG ◼許可無く開発エンジニアが勝手に本番環境のダッシュボードを更新するのはNG → 本番環境統制で必要(エンタープライズシステムだと特に)
11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
実現方法 2.マルチテナント環境下でのアクセス制御プラクティス ◼各テナントの管理単位(チーム)でGrafana内にチームとフォルダを作成 ◼開発エンジニアのユーザには一律Viewロールを付与 Aチーム用フォルダ Bチーム用フォルダ Aチーム ユーザ1 View ユーザ2 View Bチーム ユーザ3 View ユーザ4 View
12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
実現方法 2.マルチテナント環境下でのアクセス制御プラクティス ◼各チーム用フォルダに以下のアクセス許可設定を追加 ⚫ Viewロールを持った全てのユーザからのViewを許可 ⚫ 対応するチームからのEditを許可 ◼これで他チームのダッシュボードは参照可能にしつつも更新は防げる Aチーム用フォルダ アクセス許可設定 Aチーム Can Edit Aチーム ユーザ1 View ユーザ2 View Viewロールユーザ Can View Bチーム用フォルダ アクセス許可設定 Bチーム Can Edit Bチーム ユーザ3 View ユーザ4 View Viewロールユーザ Can View ダッシュボード ダッシュボード ダッシュボード ダッシュボード
13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
実現方法 2.マルチテナント環境下でのアクセス制御プラクティス ◼Adminロールを持った管理者ユーザが、チームからのユーザ追加/削除を行う事で、ユーザ単位での 本番環境用ダッシュボードへのアクセス統制が可能 Aチーム用フォルダ アクセス許可設定 Aチーム Can Edit Aチーム ユーザ1 View ユーザ2 View Viewロールユーザ Can View 管理者ユーザ Admin ダッシュボード ダッシュボード チームへの追加/削除でユーザ単位のアクセス統制が掛けられる
14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.
まとめ ◼Grafana が持っているアクセス制御機能を使うことで、マルチテナントでもセキュアかつガバナンス を持った運用を行う事が可能! ◼チーム用フォルダ内であれば自由にダッシュボードを作成できる!
None