ユーザ & ロール

ユーザ

Settings メニューのUsers ページには、カレントCloudGuardアカウントのユーザが表示されます。

アカウントを作成するユーザは、Account Owner です。このユーザは、課金やサブスクリプションプランなどのCloudGuardアカウント関連の問題を管理し、スーパーユーザの権限を持ちます。アカウントごとに1 つのアカウント所有者のみが存在します。アカウント所有者は、別のユーザをアカウント所有者として割り当てることができます。このケースでは、前のアカウント所有者がスーパーユーザのロールを受け取ります。

CloudGuard は、ユーザを電子メールアドレスで識別します。メールごとに複数のユーザを作成することはできません。メールアドレスにバインドされていないユーザが必要な場合は、サービスアカウントを作成します。

ユーザ は、次の方法でCloudGuardと対話します。

  • Webインタフェース(CloudGuard Portal)

  • REST API

サービスアカウント

API を使用して、CloudGuard を操作するサービスアカウントを作成できます。Webインタフェースを使用したCloudGuardとのサービスアカウントのやりとりは不可能です。API キーID とAPI キーシークレットを使用してサービスアカウントを識別します。通常のユーザとは異なり、このアカウントは特定の電子メールアドレスにバインドされません。サービスアカウントは、これらのタスクを実行するユーザに関係なく、管理、保守、およびその他すべての自動化タスクに使用できます。

サービスアカウントには、通常のユーザと同じ役割を割り当てることができます。

ロール

ロールを定義し、ユーザおよびサービスアカウントに割り当てることができます。次に、ロールに権限を割り当てます。ロールをユーザに割り当てると、ロールの権限がユーザに付与されるため、これらの権限をユーザに明示的に割り当てる必要はありません。

CloudGuardアカウントに必要なすべての種類のユーザを対象とし、それぞれに適切な権限を持つ任意の数のロールを定義できます。

定義済みのCloudGuard ロールは次のとおりです。

  • Super User - すべてのシステムリソースにアクセスして管理したり、新しいユーザを追加したり、権限を変更したりできます。システム内には複数のスーパーユーザが存在する可能性があります。

  • Auditor - すべてのシステムリソースを表示できますが、作成、変更、削除はできません。

  • Kubernetes Agent - Kubernetes エージェントが使用する社内ロール。

定義済みロールは変更または削除できません。メンバを含むロールは削除できません。

ユーザの役割の切り替え

上部のバーで、ユーザの名前の横にあるメニューを使用して、CloudGuardアカウントの別のロールに切り替えます。ロールを定義し、割り当てる必要があります。

アクセス許可

CloudGuard

権限が適用される環境を選択します。ユニット内のすべての環境、または特定の環境、および環境内の特定のリージョンとVPC を選択する組織ユニットを選択できます。

許可

説明

対象リソース

ダイナミックアクセス

セキュリティグループへの安全なアクセスに動的アクセスリースを使用します(ダイナミックアクセスリースを参照)。

動的アクセスリース(AWS)

セキュリティグループの作成

環境でのセキュリティグループの作成

環境内のセキュリティグループ

リソースの管理

選択した環境で、アカウント、リース、設定、ユーザ、ロール、セキュリティグループなどのネットワークセキュリティエンティティを含むCloudGuardシステムリソースを作成および管理します。特定のOU内のすべての環境、特定の環境、または環境を選択できます。

全CloudGuard体制

リソースの表示

すべてのCloudGuardシステムリソースを表示します。変更することはできません。リソースは、すべての環境、選択した環境、または選択したOU内の環境用です。

全CloudGuard体制

クロスアカウントアクセス

すべてのロールまたは選択したロールを含む、すべての環境または選択した環境へのアクセス権を取得する

全CloudGuard体制

ルールセットとルール

の作成と管理

ルールセット、ルール

アラート通知

コンプライアンスエンジンの通知 を設定します。

通知

ポリシー

連続ポスチャーポリシーの作成と管理

CloudGuardコンティニュアスポスチャ

アラートの管理

アラートの承認、割り当て、コメント、または削除、除外および修正の作成

CloudGuardの事象、除外および修復

オンボーディング

オンボード新環境

CloudGuard環境

アクション

ユーザ & ロールでは、 ユーザ、サービスアカウント、およびロールを管理できます。 ユーザまたは ロールテーブルで、最初のカラムのメニューをクリックして表示し、使用可能な操作を選択します。

スーパーユーザとアカウント所有者は、アカウントに新しいCloudGuard ユーザ を追加できます。

  1. Settings メニューでUsers ページを開きます。

  2. Add Userをクリックします。

  3. ユーザの詳細を入力します。ユーザは電子メールアドレスで識別されます。ユーザがシングルサインオンでサインインする場合は、シングルサインオン を参照してください。

  4. ユーザのロールまたはアクセス許可を選択します。ユーザはロールに関連付けられた権限を自動的に受け取るため、これらを「権限」セクションで明示的に割り当てる必要はありません。ロールを割り当てない場合は、この項で明示的にユーザに権限を割り当てる必要があります。直接権限を持つユーザ には、ロール一覧のDirect タグがあります。

  5. Closeをクリックします。ユーザに入力された電子メールアドレスに従って、新しいユーザに電子メールが送信されます。

スーパーユーザ およびアカウント所有者 は、新しいCloudGuard サービスアカウントを追加できます。

  1. Settings メニューからService Accounts ページを選択します。

  2. Add Accountをクリックします。

  3. Add Service Account ダイアログボックスで、アカウント名を入力します。

  4. サービスアカウントのロールを選択します。1 つのロールを1 つずつ選択すると、複数のロールを選択できます。

  5. Addをクリックします。New Service Account Details ダイアログボックスには、API キーID とAPI キーシークレットの値が表示されます。

  6. Copy アイコンをクリックすると、各値の詳細がコピーされ、後で使用できるように保存されます。

  7. Closeをクリックします。

特定の権限を持つロールを定義し、それらをユーザおよびサービスアカウントに割り当てることができます。定義するロールは、CloudGuardアカウントに固有です。

  1. Settings メニューでRoles ページを開きます。

  2. Add Roleをクリックします。

  3. ロールの名前を入力し、アクセス許可を選択します。

  4. 必要に応じて、ロールのユーザとサービスアカウントを選択します。これらのユーザおよびアカウントには、ロールに関連付けられた権限が付与されます。

ユーザまたはサービスアカウントの詳細(権限を含む) を変更できます。

  1. リストでユーザまたはサービスアカウントを選択します。

  2. メニューバーで、Edit をクリックし、ユーザに関連付けられたロールまたは権限を変更します。

  3. Closeをクリックします。。

  4. ユーザを削除するには、メニューバーのDelete をクリックします。

スーパーユーザは、シングルサインオン(SSO)を使用するようにユーザを設定できます。この場合、まずアカウントに対してシングルサインオン を有効にします。

  1. スーパーユーザ アカウントを使用して、CloudGuard ポータルにログインし、Settings メニューのUsers ページに移動します。

  2. SSO に接続するユーザを選択し、メニューバーのConnect to SSO をクリックします。

  1. スーパーユーザ 認証情報を使用して、CloudGuard ポータルにログインし、Settings メニューのUsers ページに移動します。

  2. SSO から切断するユーザを選択し、メニューバーのDisconnect from SSO をクリックします。>

スーパーユーザは、他のユーザのMFAを無効にできます。

別のユーザのMFA を無効にするには:

  1. CloudGuard でSettings > Users に移動し、CloudGuard アカウントのすべてのユーザの一覧を表示します。

  2. MFA を有効にしたユーザを選択します。

  3. メニューバーからDisable MFA を選択します。

    確認ウィンドウが開きます。

  4. OKをクリックします。。

アカウント所有者は、アカウント所有者になる別のユーザを割り当てることができます。前者は、アカウントごとに1 つのアカウント所有者しか存在しないため、スーパーユーザになります。

  1. アカウント所有者の認証情報を使用して、CloudGuard ポータルにログインし、Settings メニューのUsers ページに移動します。

  2. アカウント所有者として設定するユーザを選択し、メニューバーのSet as account owner をクリックします。

ログイン時に、設定した回数以上間違ったパスワードを入力したユーザは、自分のアカウントからロックアウトされます。これらのアカウントは、Users ページのスーパーユーザでロック解除できます。

  • ユーザのロックを解除するには、ユーザを選択し、メニューバーのReset password をクリックします。