組織において複数のユーザがCloud Managerを使用する必要がある場合は、ユーザごとに Cloud Managerユーザアカウントを作成する必要があります。Cloud Manager管理者、テナン ト管理者、作業環境管理者など、複数のタイプのユーザを作成できます。
手順
1. Cloud Managerコンソールの右上にあるユーザのアイコンをクリックし、[Users]を選択し
ます。
2. [Users]ページで、[New User]をクリックします。
3. [New User]ページで、新しいユーザアカウントの詳細を指定します。
このページのフィールドのほとんどは分かりやすいもので、説明を必要としません。以 下は、説明が必要なフィールドのリストです。
フィールド 説明 Authentication
Type
Cloud Managerの内部のユーザアカウントを作成する場合は、[Cloud Manager]を選択します。組織のActive Directoryのユーザアカウントを 使用するようにCloud Managerを設定している場合は、[Active
Directory]を選択します。
Email Address Cloud Managerにログインするためにユーザが使用する必要のあるE メールアドレスを入力します。Cloud ManagerはこのアドレスにE メールを送信しません。
Role 3つのうちのいずれかのロールを選択します。
• Cloud Manager Admin:製品を管理し、すべてのテナントと作業環
境にアクセスできます。
• Tenant Admin:単一のテナントを管理します。テナント内のすべ
ての作業環境とユーザを作成および管理できます。
• Working Environment Admin:テナント内の1つ以上の作業環境を 管理します。
Working Environment Adminユーザを作成するときは、ユーザをテナン トに割り当てる必要があります。また、必要に応じて作業環境に割り 当てることもできます。選択したテナントに作業環境がない場合は、
割り当てる作業環境をあとで変更できます。
注:Working Environment Adminユーザには、自分で作成した作業環 境に対する権限が自動的に割り当てられます。
フィールド 説明 AWS Access
Key and Secret Key
IAMロールをCloud Managerインスタンスに関連付けている場合を除
き、AWSでユーザに割り当てられたアクセスキーとシークレット キーを入力します。
Cloud Managerは、キーを使用してユーザの代わりにAWSの操作を実行
します。IDおよびアクセス管理(IAM)ユーザにはAWSの特定の権限 が必要です。ネットアップが提供する、必要な権限を含むIAMポリ シーを使用できます。
NetApp OnCommand Cloud Manager:AWSとAzureのポリシー AWS Cost S3
Bucket
必要に応じて、詳細な請求レポートを含むS3バケットを入力します。
詳細な請求レポートへのアクセスをCloud Managerに許可すると、
ONTAP Cloudに関連するAWSのストレージとコンピューティングの
コストをユーザが把握できます。
AWSの一括請求を使用している場合にAWSキーを指定した場合、ユー ザアカウントを作成するたびにバケットを指定する必要はありませ ん。AWS支払いアカウント下に作成されたIAMユーザに対応する1つ
のCloud Managerユーザアカウントのバケットを指定するか、支払い
アカウント自体のバケットを指定します。
Azure Permissions
Active DirectoryのサービスプリンシパルのアプリケーションIDと
Azureキー、ユーザのサブスクリプションID、および組織のActive
DirectoryテナントIDを入力します。Cloud Managerでは、プログラムに
よってAzureにログインするためにこの情報が必要です。
4. [Save]をクリックします。
タスクの結果
Cloud Managerでユーザアカウントが作成され、ユーザがCloud Managerにログインできるよ うになります。
関連タスク
Cloud Manager用のAWS請求とコスト管理の設定(20ページ)
ONTAP Cloud の暗号化機能で SafeNet のキー管理ツールを使用するための Cloud Manager の設定
AWSの新しいONTAP Cloudシステムで他のユーザがONTAP Cloudの暗号化機能を有効にで きるようにするには、Cloud Manager Adminユーザが事前にCloud Managerで設定しておく必 要があります。この設定を行うには、Cloud Managerを中間Certificate Authority(CA;認証局)
として設定し、SafeNetのキー管理ツールの情報を入力して、キー管理ツールのCA証明書を 追加します。
開始する前に
SafeNetのキー管理ツールを設定し、必要な情報を収集しておく必要があります。
ONTAP Cloudの暗号化機能を使用するためのキー管理ツールの要件(17ページ)
タスク概要
ネットアップのビデオ:Setting up Cloud Manager for ONTAP Cloud encryption
手順
1. 中間CAとしてのCloud Managerの設定(51ページ)
Cloud Managerは、ONTAP Cloudのクライアント証明書を作成する必要があるため、中間
Certificate Authority(CA;認証局)として設定する必要があります。Cloud Managerを中間 CAとして設定するには、Certificate Signing Request(CSR;証明書署名要求)を生成して ルートCAの署名を取得し、その証明書をCloud Managerにインストールします。
2. Cloud Managerへのキー管理ツールとCA証明書の追加(52ページ)
ユーザがONTAP Cloudシステムで使用するキー管理ツールとCA証明書を選択できるよう
に、Cloud Managerでそれらの情報を追加しておく必要があります。
関連情報
『Cloud ManagerとONTAP Cloudの概要』:「ONTAP Cloudの暗号化機能の仕組み」
中間CAとしてのCloud Managerの設定
Cloud Managerは、ONTAP Cloudのクライアント証明書を作成する必要があるため、中間
Certificate Authority(CA;認証局)として設定する必要があります。Cloud Managerを中間CA として設定するには、Certificate Signing Request(CSR;証明書署名要求)を生成してルート CAの署名を取得し、その証明書をCloud Managerにインストールします。
手順
1. Cloud Managerコンソールの右上にあるタスクドロップダウンリストをクリックし、
[Encryption Setup]を選択します。
2. [Intermediate CA]タブで、[Generate CSR]をクリックします。
Cloud Managerに証明書署名要求が表示されます。
3. CSRを使用してCAに証明書要求を送信します。
中間CA証明書では、Privacy Enhanced Mail(PEM)Base-64でエンコードされたX.509形式 を使用する必要があります。
4. 署名済み証明書の内容をコピーして[Cloud Manager certificate]フィールドに貼り付けま す。
5. [Install Cloud Manager Certificate]をクリックします。
タスクの結果
Cloud Managerが中間CAとして設定され、ONTAP Cloudシステムのクライアント証明書に署 名できるようになります。次の図は、中間CAとして設定されたCloud Managerシステムを示 しています。
次のタスク
KMIPサーバでクライアント証明書認証が必要な場合は、Cloud Manager中間CAとそのルート CAをキー管理ツールの信頼済みCAのリストに追加します。この手順は、ONTAP Cloudクラ イアント証明書が信頼できるCAによって署名されているかをキー管理ツールで確認するた めに必要になります。
Cloud Managerへのキー管理ツールとCA証明書の追加
ユーザがONTAP Cloudシステムで使用するキー管理ツールとCA証明書を選択できるよう
に、Cloud Managerでそれらの情報を追加しておく必要があります。
手順
1. [Encryption Setup]ページで、[Key Manager]をクリックします。
2. キー管理ツールで5696以外のKMIPポートを使用している場合は、ポートを変更して
[Save]をクリックします。
ONTAP Cloudシステムからキー管理ツールへの接続にこのポートを使用するように
Cloud Managerで設定されます。
3. [Key Managers]テーブルで、[Add]をクリックします。
4. [Add Key Manager]ダイアログボックスで、キー管理ツールに関する詳細を入力し、
[Add]をクリックします。
フィールド 操作
Key Manager Name キー管理ツールを区別するための一意の名前を入力します。
IP Address キー管理ツールのIPアドレスを入力します。
User Name for Client Certificate Authentication
キー管理ツールをクライアント証明書認証で使用できるように、
キー管理ツールでクライアント証明書のユーザ名を検証する場 合は、フィールドとユーザ名を指定します。
• キー管理ツールでユーザ名を確認するフィールドを選択しま す。
• キー管理ツールで定義されているユーザ名を入力します。
Cloud Managerにより、ユーザ名のフィールドで定義した値を使用
してONTAP Cloudクライアント証明書が生成されます。
5. [Key Managers' CA Certificates]テーブルで、[Add]をクリックします。
6. キー管理ツールのサーバ証明書に署名したCertificate Authority(CA;認証局)の証明書を 貼り付け、[Add]をクリックします。
7. 追加するキー管理ツールとそのCA証明書について、同じ手順を繰り返します。
タスクの結果
Cloud ManagerによるONTAP Cloudシステムの作成で暗号化が有効になります。