Upgrade to Pro — share decks privately, control downloads, hide ads and more …

GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について

高棹大樹
April 24, 2024
Technology
0
400

 GrafanaMeetup_AmazonManagedGrafanaのアクセス制御機能とマルチテナント環境下でのアクセス制御について

高棹大樹

April 24, 2024
Tweet

More Decks by 高棹大樹

See All by 高棹大樹
EKSの認証認可の仕組みとEKS APIを用いた認可制御について
daitak
1
360

Other Decks in Technology

See All in Technology
JAWS-UG Bedrock Claude Night
yamahiro
3
720
コードファーストの考え方。 Amplify Gen2から学ぶAWS次世代のWeb開発体験
yoshiitaka
2
370
【NW X Security JAWS#3】L3-4:AWS環境のIPv6移行に向けて知っておきたいこと
shotashiratori
1
660
非同期推論システムによるコスト削減と信頼性向上
koki_nishihara
1
360
Rustで「プリズモイダル法」を利用して「土量計算」をガチでやる
nokonoko1203
1
310
M5と自作基板をくっつけてみた〜M5 Japan Tour 2024 Spring 福冈 (Fukuoka|福岡)〜
keropiyo
0
150
よく聞くけど使ったことないソフトウェアNo.1 KafkaとSnowflake
foursue
4
510
本当のAWS基礎
toru_kubota
1
640
ルーターでプレゼンする
puhitaku
1
3.3k
web-application-security
matsuihidetoshi
1
190
The AI Revolution Will Not Be Monopolized: Behind the scenes
inesmontani
PRO
1
160
DMM.com アルファ室採用案内資料
hsugita
1
230

Featured

See All Featured
Infographics Made Easy
chrislema
238
18k
Why Our Code Smells
bkeepers
PRO
331
56k
Optimizing for Happiness
mojombo
370
69k
No one is an island. Learnings from fostering a developers community.
thoeni
16
2.1k
Robots, Beer and Maslow
schacon
PRO
155
7.9k
Side Projects
sachag
451
41k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
mongodb
34
8.9k
The Success of Rails: Ensuring Growth for the Next 100 Years
eileencodes
33
6k
Sharpening the Axe: The Primacy of Toolmaking
bcantrill
21
1.4k
Put a Button on it: Removing Barriers to Going Fast.
kastner
58
3.1k
What the flash - Photography Introduction
edds
64
11k
Happy Clients
brianwarren
92
6.4k

Transcript

  1. Amazon Managed Grafanaのアクセス制御機能と マルチテナント環境下でのアクセス制御について Grafana Meetup Japan #1 2024年4月24日 株式会社野村総合研究所

    マルチクラウドインテグレーション事業本部 金融基盤サービス部 高棹 大樹

  2. 1 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    高棹 大樹 – Daiki Takasao NRI 金融基盤サービス部 • 金融機関様向けEKSを用いたマイクロサービス共通基盤 のインフラ担当 主な仕事 趣味 最近の困り事 • キャンプ • 筋トレ • 子供と遊ぶ(相手をしてくれる内に。。) • 飼っている猫が懐いてくれない

  3. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    はじめに ◼Grafanaをマルチテナント環境で使う際、アクセス制御しつつも開発エンジニアが自由にGrafana を触れる余地も残す(ベスト)プラクティスについてお話しさせて頂きます

  4. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Amazon Managed Grafanaが持つアクセス制御機能 01 マルチテナント環境下でのアクセス制御プラクティス 02

  5. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Amazon Managed Grafanaのアイデンティティ 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼ユーザ ⚫ Grafanaにログインする個々人 ⚫ IAM Identity CenterもしくはSAML連携して使う前提であり、初回ログインで自動で作成される(手動でユーザを 作成する事はできない) ◼チーム ⚫ ユーザをチームに所属させて使う ⚫ 同じユーザを複数のチームに所属させる事が可能 ユーザ1 ユーザ2 Aチーム Bチーム ユーザをチームに所属させる 同一ユーザを複数チームに所属させる事が可能

  6. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Amazon Managed Grafanaのオブジェクト 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼フォルダ、ダッシュボード、パネルの階層構造を持つ フォルダA ダッシュボード パネル(グラフ等) パネル パネル ダッシュボード パネル パネル ・ ・ ・ フォルダB ダッシュボード パネル(グラフ等) パネル パネル ダッシュボード パネル パネル ・ ・ ・

  7. 6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Amazon Managed Grafanaのロール 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼Admin/Edit/Viewの3つのロールを持つ ◼ロールは各ユーザに1つづつ紐付く ◼ロールはチームには紐付けられない アクション Admin Edit View データソースの追加、編集、削除 ◦ × × ユーザ、チームの追加および編集 ◦ × × フォルダの追加、編集、削除 ◦ × × ダッシュボード・パネルの追加、編集、削除 ◦ ◦ × Explore機能の利用 ◦ ◦ × ダッシュボード・パネルの参照 ◦ ◦ ◦ ユーザ1 ユーザ2 Aチーム Bチーム Edit View Edit

  8. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    オブジェクト側でのアクセス制御設定 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼フォルダとダッシュボードにアクセス制御設定を行う事が可能 ◼ユーザロールの権限レベルとオブジェクトの権限レベルで強い方が優先される ◼フォルダに設定したアクセス許可設定はフォルダ内のダッシュボードに継承される フォルダ ダッシュボード パネル(グラフ等) パネル パネル ダッシュボード パネル パネル アクセス許可設定 ユーザ2 View Can Edit Aチーム Can View View<EditなのでEdit権限で操作可能 ・ ・ ・ アクセス許可設定 継承 継承 アクセス許可設定

  9. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    オブジェクト側でのアクセス許可設定 1. Amazon Managed Grafanaが持つアクセス制御機能 ◼フォルダとダッシュボードに設定できるアクセス許可設定は以下の通り 特定のチーム(Aチーム or Bチーム or etc..) 特定のユーザ(ユーザ1 or ユーザ2 or etc..) Viewロールを持った全てのユーザ Editロールを持った全てのユーザ Can Admin Edit View

  10. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    Amazon Managed Grafanaが持つアクセス制御機能 01 マルチテナント環境下でのアクセス制御プラクティス 02

  11. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    実現したいこと 2.マルチテナント環境下でのアクセス制御プラクティス ◼1つGrafana(ワークスペース)上でマルチテナントのダッシュボードを一元管理したい → データソース設定や認証設定から開発エンジニアを解放 認知負荷軽減、管理の効率化 ◼他サービスのダッシュボードは参照したいけど、勝手に更新されるのはNG ◼許可無く開発エンジニアが勝手に本番環境のダッシュボードを更新するのはNG → 本番環境統制で必要(エンタープライズシステムだと特に)

  12. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    実現方法 2.マルチテナント環境下でのアクセス制御プラクティス ◼各テナントの管理単位(チーム)でGrafana内にチームとフォルダを作成 ◼開発エンジニアのユーザには一律Viewロールを付与 Aチーム用フォルダ Bチーム用フォルダ Aチーム ユーザ1 View ユーザ2 View Bチーム ユーザ3 View ユーザ4 View

  13. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    実現方法 2.マルチテナント環境下でのアクセス制御プラクティス ◼各チーム用フォルダに以下のアクセス許可設定を追加 ⚫ Viewロールを持った全てのユーザからのViewを許可 ⚫ 対応するチームからのEditを許可 ◼これで他チームのダッシュボードは参照可能にしつつも更新は防げる Aチーム用フォルダ アクセス許可設定 Aチーム Can Edit Aチーム ユーザ1 View ユーザ2 View Viewロールユーザ Can View Bチーム用フォルダ アクセス許可設定 Bチーム Can Edit Bチーム ユーザ3 View ユーザ4 View Viewロールユーザ Can View ダッシュボード ダッシュボード ダッシュボード ダッシュボード

  14. 13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    実現方法 2.マルチテナント環境下でのアクセス制御プラクティス ◼Adminロールを持った管理者ユーザが、チームからのユーザ追加/削除を行う事で、ユーザ単位での 本番環境用ダッシュボードへのアクセス統制が可能 Aチーム用フォルダ アクセス許可設定 Aチーム Can Edit Aチーム ユーザ1 View ユーザ2 View Viewロールユーザ Can View 管理者ユーザ Admin ダッシュボード ダッシュボード チームへの追加/削除でユーザ単位のアクセス統制が掛けられる

  15. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    まとめ ◼Grafana が持っているアクセス制御機能を使うことで、マルチテナントでもセキュアかつガバナンス を持った運用を行う事が可能! ◼チーム用フォルダ内であれば自由にダッシュボードを作成できる!
  16. None