管理機能¶
概要¶
Smart Data Platformでは、サービスのご利用状況の確認や、サービスをご利用いただく上での様々な管理機能をポータル画面上か、APIからご利用いただくことができます。
ここでは、Smart Data Platformでご提供する管理機能の概要と、それをご利用いただく前提となる情報についてご説明します。
お申し込み方法¶
Smart Data Platformサービス(以下、本サービス)のお申し込み方法についてご説明します。
NTTコミュニケーションズ ビジネスポータルをご利用中のお客さま¶
お客さまの社内ビジネスポータル管理者さまに、ビジネスポータルアカウントの作成および、本サービスの申し込みが可能となる権限設定をご依頼ください。
作成されたアカウントでビジネスポータルにログインいただくことで、オンラインで本サービスの利用を開始することができます。
1つのビジネスポータルから複数のサービスをお申し込みいただくことができます。
その他、ご不明な点などございましたら、弊社営業担当までお問い合わせください。
NTTコミュニケーションズ ビジネスポータルをご利用中でないお客さま¶
まずビジネスポータルの利用をお申込みいただく必要がございます。
ビジネスポータルのお申し込みについては、弊社営業担当へお問い合わせください。
ビジネスポータルご利用開始後、上記の通り本サービスの利用を開始することができます。
お申し込み時に必要となる情報¶
Smart Data Platformサービスのお申し込み時には、以下の情報(契約情報)が必要となりますので、あらかじめご用意ください。以下の契約情報については、お申し込み後Smart Data Platformポータル上で参照することが可能です。
| カテゴリ | 項目 |
| ご契約者情報 | 郵便番号 |
| 住所 | |
| 部課名 | |
| 担当者名 | |
| 電話番号 | |
| メールアドレス | |
| 請求書送付先情報 | 郵便番号 |
| 住所 | |
| 会社名 | |
| 部課名 | |
| 担当者名 | |
| 電話番号 | |
| メールアドレス |
GUI/API¶
Smart Data PlatformサービスではGUI、及び、APIの2種類のインターフェイスを提供します。
GUI/APIを利用することで、本サービスの各種管理機能や各サービスメニューのリソースの管理を行うことができます。
GUI¶
GUIの構成¶
Smart Data Platformサービスで提供するGUIの構成は以下のようになります。
お客さまはNTTコミュニケーションズビジネスポータル(以下、ビジネスポータル)にログインすることで、Smart Data Platformポータルにシングルサインオンすることができます。
Smart Data Platformポータルでは、主に契約全体にかかわる管理機能を提供しています。
また、Smart Data Platformポータルのリンクから Cloud Management Platformやチケットシステムをご利用いただくこともできます。
それぞれのGUI画面で提供する機能の概要は以下の通りです。
| 画面 | 機能 | 概要 |
| Smart Data Platformポータル | テナント管理 | 操作対象のテナントを選択することができます。管理ユーザーであれば、テナントの追加/削除やテナントごとにアクセス可能なユーザーの指定をすることができます。 |
| ユーザー管理 | ユーザー情報を参照をすることができます。(管理ユーザーの画面にのみ表示されます) | |
| 料金管理 | ご利用料金明細の参照が可能です。(管理ユーザーの画面にのみ表示されます) | |
| プロファイル管理 | 自分のログインIDなど、プロファイル情報を確認することができます。またAPI鍵の情報もここで確認することができます。 | |
| 契約管理 | 契約情報を参照することができます。(契約代表ユーザーの画面にのみ表示されます) | |
| お知らせの掲載 | Enterprise Cloudに関するお知らせを掲載しています。 | |
| Cloud Management Platform | 複数クラウドサービスの一元管理 | 複数クラウドサービスに跨って構成されるお客さまシステムをグループ化し、1つのダッシュボードに集約することで、各種リソースを一元的管理することができます。 |
| チケットシステム | チケットシステムを利用した問い合わせ管理 | 故障や各種お問い合わせに対してチケットを起票し、サポートセンターへお問い合わせいただくことができます。 |
ご利用条件¶
| 項目 | 内容 |
| 対応ブラウザ | Mozilla FireFox 最新版
Google Chrome 最新版
|
| 対応言語 | 日本語、英語(ブラウザの言語設定によって自動選択) |
API¶
Smart Data Platformサービスでは、目的に応じたAPIをご利用いただくことで、サービスのほとんどの機能をAPIでコントロールすることができます。
これによって、リソースの操作をはじめ、課金状況の確認など管理系の機能もAPIからご利用いただくことができます。
もちろん、これらの操作はコントロールパネルのGUIを経由して行うことも可能ですが、APIを使うことによってより運用を自動化することが可能になります。
APIについての詳細な情報は、 APIリファレンス をご確認ください。
APIの構成¶
APIを利用するには、ユーザーごとに割り当てられる、「API鍵」と「API秘密鍵」が必要となります。
またAPIのリクエストはインターネット経由でAPIエンドポイントへアクセスすることでコントロールが行えます。
| 項目 | 説明 |
| API鍵 | APIアクセスを可能とするための認証に必要なIDです。このIDを使って認証することでAPIエンドポイント経由で各リソースにアクセスし、APIリクエストを送信することが可能となります。
ユーザー単位にユニークな値が割り当てられ、必要に応じて再生成することもできます。
|
| API秘密鍵 | APIアクセスを可能とするための認証に必要な秘密鍵です。IDとの組み合わせで必要となります。
ユーザー単位にユニークな値が割り当てられ、必要に応じて再生成することもできます。
|
| API エンドポイント | APIアクセスをするためのURLを定義したものです。
このURLにアクセスすることで、アクセス認証を行ったり、APIリクエストを送信することで、各種リソースのコントロールが可能になります。APIエンドポイントは、提供リージョン、サービスメニュー毎に異なります。
|
注釈
- Smart Data Platformでは定期的なAPI鍵、API秘密鍵の更新を推奨しております。 以下手順よりご計画の上、API鍵更新を実施してください。API鍵更新手順
ご利用条件¶
システムの健全性とお客さま環境の安全性を確保するために、APIのリクエスト数には以下の制限を設けています。
- 200リクエスト/秒/ソースIPアドレス、または1000リクエスト/分/ユーザー
上限に達すると安全装置が働き、そのユーザーのAPIリクエストは一時的に制限されます。
契約管理¶
契約情報の参照・変更¶
契約管理では、お客さまがSmart Data Platformサービスをご契約の際に入力いただいた情報を、Smart Data Platformポータル上で確認・変更することができます。
ご利用条件¶
本機能は契約代表ユーザーのみ利用いただくことができ、他のユーザーの権限では利用できません。
テナント管理¶
テナント¶
テナントとは、Smart Data Platformサービスで提供される各種リソースを管理するための論理的な管理単位で、リソースは全てテナント内に配置されます。
お客さまは1つのSmart Data Platformサービス契約の中で、1〜100のテナントを作成することができます。
Smart Data Platformの各メニューをご利用いただく際にまず、テナントを作成いただく必要があります。
またテナントごとにそのテナントへのアクセス権をユーザー単位で設定することができます。
テナントの管理¶
Smart Data Platformポータルのテナント管理機能を利用して、テナントの作成/削除および、アクセス権の設定を行うことができます。
作成したばかりのテナントは契約代表ユーザーだけがアクセス権をもっています。他のユーザーにアクセス権を付与するには、テナント作成後にアクセスを許可するユーザーをユーザー単位に指定します。
ご利用条件¶
契約代表ユーザーは全てのテナントに対してアクセス権を持ち、これを変更することはできません。
本機能は管理ユーザーのみ利用いただくことができ、一般ユーザーの権限では利用できません。
ユーザー管理¶
ユーザーの種類¶
Smart Data Platformサービスを契約いただくと、その契約に紐づく1つのユーザーが作成されます。この最初のユーザーを契約代表ユーザーと呼び、契約に対して1つのみ存在する特別なユーザーです。
具体的には、最初にSmart Data Platformにアクセスし、契約サインアップを実行したユーザーがその契約の契約代表ユーザーとなります。
またSmart Data Platformではユーザーの種別として、管理ユーザーと一般ユーザーの2種類のユーザーがあります。
管理ユーザーはテナント管理やAPI権限管理、料金管理などの管理機能へアクセスすることができます。一般ユーザーは管理機能へのアクセスはできません。
契約代表ユーザーは全ての管理権限を持つため、同時に管理ユーザーでもある事になります。契約作成直後は契約代表ユーザーだけが管理ユーザーとして管理機能へのアクセス権限を持っていますが、ユーザー種別を変更することによって、一般ユーザーを管理ユーザーに変更することも出来ます。
| ユーザーの種類 | 管理機能へのアクセス権 | テナントへのアクセス権 | 契約当たり作成可能ユーザー数 |
| 契約代表ユーザー(管理ユーザー) | その契約におけるすべての管理機能へのアクセス権を持つ | その契約に属するすべてのテナントへのアクセス権を持つ | 1 |
| 管理ユーザー | その契約におけるすべて、または一部の管理機能へのアクセス権を持つ | ユーザー作成後に、テナントごとにアクセス権を設定。権限を設定したテナント以外にはアクセス不可 | 0~199 |
| 一般ユーザー | 管理機能へのアクセス権を持たない | ユーザー作成後に、テナントごとにアクセス権を設定。権限を設定したテナント以外にはアクセス不可 | 0〜199 |
一般ユーザーの追加¶
契約完了直後は契約代表ユーザー(管理ユーザー)のみが存在する状態となり、一般ユーザーは存在していません。その後、ビジネスポータル側でアクセス権を付与し、そのユーザーが実際に該当Smart Data Platformポータルにアクセスすることで一般ユーザーとして追加されます。
ビジネスポータルからSmart Data Platform契約をお申し込みいただき、一般ユーザーを作成するまでの流れは以下のようになります。
1.ビジネスポータル上のユーザーAがSmart Data Platformの契約を申し込むと、ユーザーAがSmart Data Platform契約Aの契約代表ユーザー(管理ユーザー)となります。
2.ビジネスポータル上の別のユーザー(ユーザーB)に対して、該当するSmart Data Platform契約へのアクセス権をビジネスポータル上で設定することで、ユーザーBはそのSmart Data Platform契約へアクセスが可能となります。
3.ユーザーBが実際に該当するSmart Data Platform契約にアクセスする。
4.該当するSmart Data Platform契約のユーザーとして追加されます。
注釈
既に全てのSmart Data Platform契約に対するアクセス権を有するビジネスポータルユーザーは、Smart Data Platform契約が完了したタイミングで該当の契約のユーザーとして追加されます。それ以後に当該契約にアクセス権を付与されたビジネスポータルユーザーは、最初に当該契約にアクセスしたタイミングかビジネスポータルとSmart Data Platformとのシステム同期のタイミング(通常1日に1回)で、当該契約のユーザーとして追加されます。
注釈
ビジネスポータルでの設定は、ビジネスポータルの管理者権限が必要となります。
契約代表ユーザーの変更¶
前述の通り、契約代表ユーザーはその契約における唯一のユーザーですが、必要に応じて他のユーザーに変更することができます。
変更する場合は、新たに契約代表ユーザーとなるユーザーを指定します。
これを実行すると、現在の契約代表ユーザは一般ユーザに変更され、管理機能へのアクセスが制限されます。
ユーザー種別変更¶
ユーザー種別(管理ユーザー、または一般ユーザー)を変更することが出来ます。
契約作成直後は契約代表ユーザーだけが管理機能へアクセスすることができますが、ユーザー種別変更で一般ユーザーを管理ユーザーに変更することで、当該契約の管理作業を他の管理ユーザーと分担することができます。
一般ユーザーを管理ユーザーに変更する場合、デフォルトでは全ての管理権限が付与されますが、どの管理機能の実行を許可するかをカスタマイズする事もできます。
管理ユーザーだけが実行できる機能には以下のようなものがあります。
| 機能 | 概要 |
| ユーザー管理 | 契約内の他ユーザーの参照・管理を行う権限です。
一般ユーザーは自身のみ管理可能です。
|
| テナント管理 | テナントの作成、削除、アクセス権設定の権限です。ユーザー管理権限も必要となります。
一般ユーザーは自身にアクセス権が設定されたテナントの参照のみ可能です。
|
| 料金情報管理 | 料金情報を参照する権限です。
一般ユーザーは利用できません。
|
| API権限管理 | IAMグループおよびIAMロールの作成、編集、削除、割当て編集の権限です。ユーザー管理権限も必要となります。
一般ユーザーは自身が所属するIAMグループおよびIAMロールの参照のみ可能です。
|
| ユーザー種別変更 | ユーザー種別と操作権限を編集する権限です。ユーザー管理権限も必要となります。
一般ユーザーは自身のユーザー種別と操作権限の参照のみ可能です。
|
注釈
- 契約代表ユーザーは、必ず全ての権限を持つ管理ユーザーとなります。
- ユーザー種別変更の権限を持つユーザーは、契約内の他のユーザーの権限を任意に変更できる強い権限を持ちます。管理ユーザーの権限をカスタマイズする場合はこの権限付与については十分注意してご検討ください。
API権限管理¶
Smart Data Platformで提供するAPI権限管理¶
Smart Data Platformでは、各種APIの実行権限を制御する機能を提供します。
本機能を利用することでユーザーのAPI実行権限を様々な条件で制御することができます。
条件の例:
・特定のAPIのみ実行可能(Read Onlyに制限など)
・特定のリソースに対してのみ実行可能
・特定の送信元グローバルIPアドレスからのみ実行可能など
注釈
Smart Data Platformで提供するGUIは、内部的には画面上の操作をその操作に該当するAPIを実行することで実現しています。 そのため、このAPI権限管理機能を利用することで、GUI上の実行権限も同様に制限することができます。
以下のような、ユーザー、IAM(Identity and Access Management)グループ、IAMロールという3つの要素によって、権限の制御を実現します。
| 項目 | 説明 |
| ユーザー | Smart Data Platform契約に属する個々のユーザー(管理ユーザー、または一般ユーザー) |
| IAMロール | 利用を許可するAPIやAPIを実行する条件をホワイトリスト形式で定義したもの
1つのIAMロールの中には複数の許可APIを設定できる
|
| IAMグループ | IAMロールをグルーピングしたもの
ユーザーとIAMロールとの紐づける役割を果たす
|
以下の図のように、ユーザーは複数のIAMグループに所属することができ、IAMグループは1または複数のIAMロールによって定義されます。
IAMロールの権限定義¶
IAMロールは主に以下の要素によって定義されます。
下記以外にも各APIで保持する情報も任意の要素として指定することも可能で、値としてアスタリスク(*)を指定することでワイルドカードを指定することもできます。
GUIでは、典型的なロールの設定例をテンプレートとして提供していますので、このテンプレートを選択して設定することもできます。
| 項目 | 説明 |
| ipAddress | 利用を許可するアクセス元グローバル IP アドレス |
| basePath | 利用を許可する API 名 |
| path | 利用を許可する API リソース名 |
| verb | 利用を許可する Method 名 |
以下は、読み取り専用(Read Only)の権限を設定する場合のロールの設定例です。
デフォルトIAMグループ、デフォルトIAMロール¶
Smart Data Platform契約の作成時点では、デフォルトIAMグループとデフォルトIAMロールがシステムにより作成されており、作成直後の全てのユーザーはデフォルトIAMグループに紐付けられています。
デフォルトIAMロールは全てのAPIに対して実行許可が定義されており、デフォルトIAMグループに紐づけられているため、初期状態では全てのユーザーはそのユーザー種別の中で実行可能な全てのAPIの実行権限を有します。
デフォルトのIAMグループ、デフォルトのIAMロールは、削除することはできません。
また、管理ユーザーは、デフォルトIAMグループから外れることはできません。
権限の判定¶
1のユーザーが複数の権限設定に紐づく場合は、以下の判定方法にもとづき、権限判定を行います。
注釈
API権限管理による権限設定は、ユーザー種別による権限(管理ユーザー、または一般ユーザー)と、テナントアクセス権による権限とあわせて評価されます。 例えば、テナント作成の操作は管理ユーザー権限が必要なため、一般ユーザーに対してAPI権限管理機能で権限を付与したとしても実行することはできません。また、テナントアクセス権を持たないテナントに属するリソースに対する操作も、設定することは可能ですが、実行は出来ません。 ユーザー種別については「ユーザー管理」を、テナントアクセス権については「テナント管理」の章をご参照ください。
1.IAMロールが複数の権限定義で構成される場合 → A or B
以下の例では、このグループに紐づくユーザーは、「 仮想サーバーの作成(POST)、または編集(PUT)が可能」という設定となります。
2.ユーザーが1つのIAMグループに属し、IAMグループが複数のIAMロールで定義される場合 → A and B
以下の例では、IAM Role #2-1で指定した権限を実行可能ですが、IAM Role #2-2によって、「テナントIDが”123456789”の場合」という条件をAND条件で設定できます。
3.ユーザーが複数のIAMグループに属し、IAMグループが複数のIAMロールで定義される場合 → A or B
以下の例では、IAM Group #1で契約全体に対して読み取り専用の権限を付与した上で、Group #2によってテナントID 1234567890に属する仮想サーバーの作成と編集を許可する設定となります。
ご利用条件¶
・本機能は管理ユーザーのみ設定することができ、一般ユーザーの権限では設定はできません。
・本機能で管理ユーザーしか実行できない機能の実行権限を一般ユーザーへ付与することはできません。
・IAMロールとして制御可能な内容は、APIリクエストの実行権限であり、APIリクエストの実行結果(レスポンス)を制限することはできません。
・以下のメニューについては、本機能をご利用いただくことができません。
セキュリティ、バックアップ、Hybrid Cloud with Microsoft Azure、ミドルウェア
・セキュリティ、バックアップについては、ユーザ単位でGUI上でのサービスメニューの表示/非表示を制御することができます。初期設定(デフォルト)は表示となります。
注釈
詳細な設定方法は API権限管理機能のご利用方法 をご確認ください。
許可機能¶
許可機能の概要¶
許可機能とは、ユーザーの利用する機能が他のユーザーに承認を得た上で利用される必要がある時に、その承認依頼の発行や依頼に対する承認可否の回答ができる機能です。
許可機能では、テナントや契約、ユーザーに関する許可依頼が発行されます。
例えば、Smart Data Platformでは全てのリソースはテナント内に配置され、その動作の影響がおよぶ範囲もテナント内に限定されますが、あるユーザーがテナントを超えて他のテナントのリソースに対して影響を与える操作を実行しようとする際、対向テナントのユーザーから許可を得る必要があります。
この場合、他テナントへ影響を与える操作の実施者がリクエストを発出し、これを対向のテナントのユーザーが承認することで所望の操作を実現することができます。許可機能は契約を超えて利用することもできます。
許可機能の具体的な利用シーンとして、テナント間を接続するEnterprise Cloud2.0接続機能があります。
これは、接続元テナントのファイアウォールと接続先テナントのロジカルネットワークとを接続することで、テナントを超えてネットワークコネクティビティを提供するものです。
Enterprise Cloud2.0接続については、こちら Enterprise Cloud2.0接続機能 をご覧ください。
認可リクエストのパラメータ¶
許可リクエストには、以下のようなパラメータを含みます。
ユーザーが指定できるパラメータは、許可リクエストを発出する側のメニューによって異なります。
| パラメータ | 説明 |
| リクエストID | 自動で付与されます |
| ステータス | 許可リクエストの現在のステータス
詳細は次項にて説明します。
|
| 承認対象ID | 承認対象を示すID
下記のタイプによって、テナントID、契約ID、ユーザーIDをそれぞれ指定します。
|
| 承認タイプ | 実際の承認行為は、承認タイプと上記の承認対象IDによって指定されたユーザーであれば、どのユーザーでも実施することができます。
承認タイプには、以下のようなものがあります。
tenant: 指定されたテナントIDのテナントに対するアクセス権を持つ全ユーザー
tenant_owner: 指定されたテナントIDのテナントを持つ契約の管理ユーザー
contract: 指定された契約IDの契約に所属する全ユーザー
contract_owner:指定された契約IDの契約の管理ユーザー
user:指定されたユーザーIDのユーザー
|
| アクション | 承認後に行われる行為の内容 |
| 許可リクエストの回答期限 | 有効期限が切れたリクエストは「回答期限切れ」のステータスとなり、承認などの実施は出来なくなります。 |
| 承認の有効期限 | 承認されたリクエストが効力を発揮する期間の有効期限
承認のタイミングから30日後の日時が登録され、変更は出来ません。
この期限を過ぎると、一度承認されたアクションも無効となり、継続したい場合は再度許可リクエストを生成する必要があります。
|
許可リクエストの状態¶
許可リクエスト情報のステータスは以下の様なものがあります。
| ステータス | 説明 |
| 承認待ち | リクエスト元ユーザーによって許可リクエストが生成された直後の状態 |
| 取り下げ | リクエスト元ユーザーによって、許可リクエストが取り下げられた状態
本ステータスに変更後は別ステータスへの変更は出来ません。
|
| 承認 | リクエスト先ユーザーによって、許可リクエストが承認された状態
有効期限が切れるまでは本ステータスが保持されます。
|
| 却下 | リクエスト先ユーザーによって、許可リクエストが却下された状態
本ステータスに変更後は別ステータスへの変更は出来ません。
|
| 回答期限切れ | 許可リクエストの回答期限切れ
指定された許可リクエストの回答期限を過ぎても、リクエスト先で承認等が実施されない場合に、このステータスに移行します。
|
| 有効期限切れ | 承認の有効期限切れ
指定された承認の有効期限を過ぎた場合にこのステータスに移行します。
|
許可リクエストの通知¶
許可リクエストが登録されると、リクエスト登録者と承認者に指定されたユーザーに対してメール通知を行います。
また、そのリクエストが承認、否認、取り下げられた場合も同様にメール通知します。
料金管理¶
料金情報の参照¶
Smart Data Platformポータルから本サービスのご利用料金明細を確認いただくことができます。
明細(暫定)は、前日までのご利用実績にもとづきご利用いただいたテナント単位、メニュー単位、リソース単位で翌日に表示します。
ご利用料金は毎月末日に確定し、確定した料金明細は翌月5日ごろに表示されます。
料金明細は過去24ヶ月分を遡って表示することができます。
また、画面に表示された料金情報はCSVファイルとしてダウンロードすることができます。APIを利用することでも料金情報を取得することができます。
通知設定管理¶
Smart Data Platformでは、サービスに関して以下のようなメール通知を実施します。
| メール通知カテゴリ | 契約代表ユーザー
|
契約代表ユーザー以外
|
通知内容
|
お知らせ/リリース情報
|
○
|
○
|
新メニュー/機能追加などのお知らせ、仕様変更などに関するお知らせ
|
故障
|
○(変更不可)
|
○※
|
|
メンテナンス
|
○
|
○※
|
メンテナンス情報の通知
※契約代表ユーザー以外のユーザーに対しては、該当するテナントにアクセス権を持つ場合に通知します。
|
- ユーザーは上記の初期状態から自身が受信するメールを選択することができます(受信しないメールをチェックアウトすることができます)
- ただし、契約代表ユーザーは、故障通知の受信は変更することができません
- ユーザー管理権限を持つ管理ユーザーは、他のユーザーの受信選択を操作することができます
上記とは別に、契約担当者(Smart Data Platform新規申し込みのオンラインサインアップ画面上で入力した担当者メールアドレス)に対して、規約や料金についてのお知らせメールを送信する場合があります。