VMware Cloudサービスの「組織」について

大家好，AWS事業本部の西野です。

本稿ではVMware Cloud on AWSを管理する際にほぼ必ず触ることになるVMware Cloudサービスの組織（Organizations）について、アカウントとサービスの関係性やユーザーの権限などの観点から説明していきます。

まとめ

• VMware Cloud Servicesを利用するためにはVMwareアカウントが必要
• VMware Cloud Servicesでは組織（Organizations）という単位で各種サービスへのアクセス権限や請求などが管理される
  • サービスの例: VMware Cloud, VMware Cloud Disaster Recovery, VMware Aria Operations for Logs, etc…
• 組織のユーザーには「組織ロール」と「サービスロール」の2つをそれぞれ割り当てられる
  • ユーザーをグループにまとめて管理することも可能
• 組織ロールは「VMware Cloudコンソールのどの機能にアクセスできるか」決定するためのロール
• サービスロールは「組織内で利用可能なVMware Cloud Servicesのうち、どのサービスにどんな権限でアクセスできるか」決定するためのロール

VMwareアカウント

VMware Cloud on AWSなどのVMware Cloud Servicesを利用するためにはVMwareアカウントが必要です。

VMware Cloud on AWSを利用する場合そのオンボーディングプロセスの中で作成可能ですが、あらかじめ以下のページから作成することもできます。

https://customerconnect.vmware.com/jp/account-registration

以降の説明のため、example社の4名の従業員（Xさん, Yさん, Zさん, 猫さん）に登場してもらいます。

組織

VMware Cloud Servicesで各種サービスへのアクセス権限や請求を管理する最も大きなまとまりがこの組織（Organizations）です。

VMware Cloudコンソールからたとえば以下のような操作を行えます。

• ユーザー・グループのロールおよび権限の編集
• サービスの追加
• 請求・サブスクリプション情報の取得
• サービス使用量データの表示
• 認証ポリシーの設定
• サポートの依頼

VMCコンソールから組織の詳細を見たスクリーンショットが以下のものです。閲覧・操作などの権限は後述の「組織ロール」によって決定されます。

一つのVMwareアカウントは一つもしくは複数以上の組織に紐付けられます。

example社の例ではXさんは組織A・組織B・組織Cに、YさんとZさんは組織Bに、猫さんは組織Cに紐付けられています。

組織ロール

VMwareアカウントごとに存在するユーザーがVMware Cloudコンソールのどの機能にアクセスできるか決定するのが組織ロールです。

以下の3つの組織ロールが存在し、組織を利用・管理するために必要な権限がプリセットされてます。

• 組織の所有者（Organization Owner）
• 組織管理者（Organization Administrator）
• 組織のメンバー（Organization Member）

組織ロールをユーザーに直接ロールをアタッチすることも、複数ユーザーをまとめたグループにアタッチすることもできます。

example社の場合（上図）、ある組織においてYさんと猫さんはAdministratorsというグループに属しており、組織ロールによって組織管理者の権限が付与されています。

3つの組織ロールがもつ具体的な権限については以下のページをご参照ください。

VMware Cloud Services で使用できる組織ロール

サービスロール

組織内で利用可能なVMware Cloud Servicesのうち、どのサービスにどんな権限でアクセスできるか決定するのがサービスロールです。

具体的な権限はサービスごとに存在するプリセットによって規定されています。

VMware Cloud on AWSの場合以下の4つサービスロールが存在します。

example社の場合（上図）、ある組織においてYさんと猫さんはAdministratorsというグループに属しており、VMware Cloudに対してAdministratorおよびNSX Cloud Adminの権限を有しています。

終わりに

このブログがほんの少しでも世界を良くできれば嬉しいです。
AWS事業本部の西野 (@xiyegen) がお送りしました。