Amazon Monitron のユーザー管理を理解する
Amazon Monitron は複数のユーザーで利用することができ、ユーザーごとに権限を分けることができます。
今回は、Amazon Monitron のユーザーロールとその範囲について確認した内容を紹介します。
ユーザーロールの種類
Amazon Monitron では下記の3種類のロール(役割)を設定できます。各ロールで権限が異なります。
| ロール種別 | 説明 |
|---|---|
| 管理者 | プロジェクトまたはサイト内のすべてのリソースに対するフルアクセスの権限があります。 |
| 技術者 | プロジェクトまたはサイト内のリソースに対する参照権限と、異常の認識・解決を行うことができます。 |
| 閲覧者 | プロジェクトまたはサイト内のすべてのリソースに対する参照権限があります。 |
ユーザー権限の範囲
Amazon Monitron におけるユーザーは、その権限の適用範囲が「プロジェクトレベル」と「サイトレベル」で異なります。
プロジェクトレベル
- 追加されたプロジェクトおよび該当プロジェクト内の各サイトに対して付与された権限を持ちます。
- 他のプロジェクトに対する権限はありません。
サイトレベル
- 追加されたサイトに対して付与された権限を持ちます。
- 他のプロジェクトやサイトに対する権限はありません。
Amazon Monitron の権限と範囲のイメージ
上記をイメージにすると次のような感じです。
IAM ポリシーのような複雑な制御はできませんが、シンプルで分かりやすいかと思います。
複数プロジェクトの管理者を兼任する
Amazon Monitron の管理者ユーザーは、Monitron アプリ上では他のプロジェクトのリソースを見ることができません。 同一ユーザーで複数プロジェクトの管理者を設定する場合は、Monitron のプロジェクトを作成する際に同じユーザーを管理者に登録する必要があります。
管理者以外の「技術者」「閲覧者」の各ユーザーも同じように複数プロジェクトに参加することができます。
注意点として、Amazon Monirton は AWS IAM Identity Center のユーザーディレクトリを使うので、各ユーザー(管理者、技術者、閲覧者)は、事前に IAM Identity Center に登録しておく必要があります。
下記はそのイメージになります。
既存プロジェクトにユーザーを追加する
基本的な仕組みを紹介したところで、実際のオペレーションを確認してみます。
まず最初に、既存のユーザーを別のプロジェクトに管理者として追加してみます。
先程の図だと「ユーザーA」に該当する部分です。
すでに前回の記事でユーザー cm-ichida は MonitronTest というプロジェクトの管理者に登録されているものとします。
この状態で、Monitronのマネジメントコンソール(モバイルアプリ、Webアプリの画面ではない)から新たにプロジェクト project-2 を追加で作成します。
作成したプロジェクト project-2 にはまだ管理者は登録されていません。
Add admin をクリックして先程と同じユーザー cm-ichida を選択して登録します。
既存プロジェクトと同じユーザーを登録できました。
Monitron アプリでプロジェクトを追加する
プロジェクトの作成と管理者登録が完了したら、Monitron のモバイルアプリまたは Web アプリでも作成したプロジェクトを追加する必要があります。方法は2通りあります。
- プロジェクトのリンクを Web アプリ / モバイルアプリで開く
- プロジェクトのリンクをアプリケーション上で追加する
リンクをアプリで開いてプロジェクを追加する
まずは「リンクを開く」方法を試してみます。
Monitron のマネジメントコンソールでプロジェクトを作成しただけでは、Montron Web アプリおよびモバイルアプリにはプロジェクトは登録されていません。
(既存のプロジェクトのみの表示になっています)
Monitron のマネジメントコンソールにある「プロジェクトリンク」をクリックします。
このリンクと画面直下にある Copy link の URL は同一のものです。
Monitron の Web アプリに遷移します。すでにサインイン済みであれば次のような画面が出るので「完了」をクリックします。
これで、既存プロジェクトと同じユーザーで「project-2」の画面にアクセスできました。
この状態で別のプロジェクトに切り替えるには、画面上部の「プロジェクトを表示」をクリックします。
別のプロジェクトとして既存の「MonitronTest」 をクリックします。
次の確認画面が出るので「確認」をクリックして次に進めます。
プロジェクト「MonitronTest」に切り替えできました。
プロジェクトのリンクをアプリケーション上で追加する
もう一つの方法として、Monitron アプリから登録する方法も確認しておきましょう。Monitron のマネジメントコンソールから、該当プロジェクトを開いてプロジェクトリンクをコピーします。
次に Monitro の Web アプリでプロジェクトを表示します。
プロジェクト一覧画面で「プロジェクトを追加」をクリックします。
コピーしたプロジェクト URL を入力して保存します。
保存した直後は次のように「プロジェクト名」が URL の表示になっています。(リロードしても変わりませんでした)
この状態でリンクをクリックすると正しく「project-2」に遷移できました。
再度プロジェクト一覧を表示すると、正しくプロジェクト名が表示されていました。
モバイルアプリでプロジェクトを追加する
モバイルアプリで追加するときも手順は同様です。先程のプロジェクトリンクを PC 上でコピーして何らかの方法でスマホに共有してプロジェクトを追加します。
なお、モバイルアプリと Web アプリでは、同じプロジェクトを見たい場合は、それぞれのアプリにプロジェクトを追加する必要があります。
(Web アプリでプロジェクトを追加しても、モバイルアプリでは追加したプロジェクトは同期されませんでした。逆も同様でした。)
なお、URL の共有方法については、メールという手段もあります。
Monitron のマネジメントコンソールで「Email Instructions」をクリックするとメーラーが起動するので、その本文にある プロジェクトリンクを送信して共有することが可能です。
プロジェクトレベル・サイトレベルでユーザーを追加する
冒頭で説明したように、Monitron では「プロジェクトレベル」「サイトレベル」で各権限のユーザーを追加することができます。ポイントは「ユーザーの追加作業を行う階層を意識すること」です。
事前準備として、追加したいユーザーを IAM Identity Center で登録しておきます。今回は下記の2ユーザーを追加しました。
project-user: プロジェクトレベルで追加するユーザーsite1-user: サイトレベルで追加するユーザー
プロジェクトレベルでユーザーを追加する
最初にプロジェクトレベルでユーザーを追加してみます。(Web アプリで操作しますがモバイルアプリでも同様の作業で追加できます)
画面上部のプロジェクト名をクリックして、プロジェクトのトップ画面を開きます。
プロジェクトのトップ画面が開いたら、「ユーザーを追加」をクリックします。
先程 IAM Identity Center で登録したユーザー project-user を選択します。ロールは適当なものを選択してください。
これで「プロジェクトレベル」でユーザー追加ができました。
サイトレベルでユーザーを追加する
「サイトレベル」でユーザーを追加する場合は、追加したいサイトを開きます。
今回は「Site 1」を選択しました。
プロジェクトとほぼ同じデザインですが、画面上部に site 1 と表示されているので「site 1 のユーザー管理画面」であることが確認できます。
この画面で「ユーザーを追加」をクリックします。
作成済みの site1-user を選択して追加します。(ロールは適当です)
サイトレベルのユーザーが追加できました。一覧の項目「サイト」の部分が少し変わって「Site 1」のユーザーであることが分かります。
プロジェクトレベルのユーザーは各サイトにアクセスできるので、cm-ichida と project-user も表示されています。
別のサイトである site 2 のユーザー画面を開いてみましょう。site 2 にはサイトレベルのユーザーを登録していないので、下の画像のようにプロジェクトレベルのユーザーしか表示されていません。
最後に
ドキュメントを読んだだけでは、プロジェクトレベルとサイトレベルのユーザー追加の違いが「作業場所」だと分からず少し迷いましたが、分かってしまえば簡単でした。
あまり細かく制御はできませんが、Monitron を使う場合のユーザー管理についてご紹介しました。
この記事がどなたかのお役に立てれば幸いです。
