(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B1)
(11)【特許番号】
(24)【登録日】2024-01-19
(45)【発行日】2024-01-29
(54)【発明の名称】設定管理システム及び設定管理方法
(51)【国際特許分類】
G06F 8/65 20180101AFI20240122BHJP
G06F 21/62 20130101ALI20240122BHJP
【FI】
G06F8/65
G06F21/62
【請求項の数】
5
(21)【出願番号】P 2023002435
(22)【出願日】2023-01-11
【審査請求日】2023-01-11
(73)【特許権者】
【識別番号】592131906
【氏名又は名称】みずほリサーチ&テクノロジーズ株式会社
(74)【代理人】
【識別番号】100105957
【弁理士】
【氏名又は名称】恩田 誠
(74)【代理人】
【識別番号】100068755
【弁理士】
【氏名又は名称】恩田 博宣
(72)【発明者】
【氏名】浅香 樹
(72)【発明者】
【氏名】服部 純一
【審査官】牛丸 太希
(56)【参考文献】
【文献】特開2017-147668(JP,A)
【文献】菊池 修治 ほか,みんなのAWS,第1版,株式会社技術評論社,2020年,頁13、34~37、106-114
【文献】安川 健太,CloudFormationによる構築の自動化 テンプレートの作成からミドルウェア構築設定まで,WEB+DB PRESS,株式会社技術評論社,2013年,Vol.77,頁71~76
(58)【調査した分野】(Int.Cl.,DB名)
G06F 8/00ー8/77
G06F 21/00-21/88
(57)【特許請求の範囲】
【請求項1】
複数のテナントの個別機能部に設けた個別更新部と、各テナントの個別更新部に関連付けられた共通更新部を設けた共通機能部と、
マスタ設定情報を新たに取得し、前記マスタ設定情報において汎化箇所を特定して、利用設定情報を定義するための更新用テンプレートを作成して、前記共通機能部に供給するプロビジョニング部と、を備え、
前記共通機能部が、前記各個別機能部の個別更新部に前記更新用テンプレートを配布し、
前記各テナントの個別更新部が、前記更新用テンプレートを用いて、各テナントに応じた利用設定情報を更新することを特徴とする設定管理システム。
【請求項2】
前記プロビジョニング部が、前記各テナントの個別定義情報を取得し、
前記個別定義情報を用いて、テナント毎の前記更新用テンプレートを作成することを特徴とする請求項1記載の設定管理システム。
【請求項3】
前記利用設定情報は、前記各テナントの権限情報を含み、前記権限情報は、ポリシーと、前記ポリシーが適用されるロールとからなり、
前記プロビジョニング部が、前記個別定義情報を用いて、テナント毎に、前記ロール及びポリシーの少なくとも一つを更新する前記更新用テンプレートを作成することを特徴とする請求項2に記載の設定管理システム。
【請求項4】
前記プロビジョニング部が、すべてのテナントで共通した前記ポリシーを更新する前記更新用テンプレートを作成することを特徴とする請求項3に記載の設定管理システム。
【請求項5】
複数のテナントの個別機能部に設けた個別更新部と、各テナントの個別更新部に関連付けられた共通更新部を設けた共通機能部と、
マスタ設定情報を新たに取得し、前記マスタ設定情報において汎化箇所を特定して、利用設定情報を定義するための更新用テンプレートを作成して、前記共通機能部に供給するプロビジョニング部と、を備えた設定管理システムを用いて権限管理を行なう方法であって、
前記共通機能部が、前記各個別機能部の個別更新部に前記更新用テンプレートを配布し、
前記各テナントの個別更新部が、前記更新用テンプレートを用いて、各テナントに応じた利用設定情報を更新することを特徴とする設定管理方法。
【発明の詳細な説明】
【技術分野】
【0001】
本開示は、クラウドサービスの利用時における設定情報を管理するための設定管理システム及び設定管理方法に関する。
【背景技術】
【0002】
クラウドコンピューティングを使ったサービスが提供されている(例えば、非特許文献1参照。)。このサービスは、「AWS(登録商標)」、「Amazon Web Services(登録商標)」として知られている。この文献に記載されたクラウドコンピューティングでは、インターネットを介してサーバー、ストレージ、データベース、ソフトウェアといったサービスを利用できる。そして、SaaS(Software as a Service)、PaaS(Platform as a Service)、IaaS(Infrastructure as a Service)を実現することができる。例えば、IaaSにより、仮想サーバ(仮想計算環境)を構築することにより、クラウド上で実行されるアプリケーションをサービスとしてユーザに提供する。
【0003】
AWSでの静的リソースを管理するために、クラウドフォーメーション(CloudFormation)を用いることが可能である。このCloudFormationでは、所定の文法に従ったテキストファイル(CloudFormationテンプレート)を使って、AWSリソースの状態を定義することができる。CloudFormationテンプレートは、例えば、JSON形式やYAML形式等のデータ形式で記述される。CloudFormationテンプレートを用いることにより、アクセス権限や仮想環境で実現されるハードウェア構成を含めたリソースの要件を記述することができる。このように、ハードウェア(リソース)をプログラムによって記述することにより管理する「IaC(Infrastructure as Code)」を実現する。
【0004】
また、AWSでは、CDK(AWS Cloud Development Kit:登録商標)を用いることが可能である。CDKは、TypeScript(JavaScript:登録商標),Python(登録商標),Java(登録商標)等のプログラミング言語を用いることにより、クラウドリソースの記述を効率的に作成できる。CDKは、内部的にCloudFormationを通じて機能する。
【0005】
更に、このAWSでは、AWS Identity and Access Management(IAM)を用いる。このIAMでは、クラウドサービスやリソースにアクセスできるユーザやグループを管理する。このIAMでは、ロールとポリシーにより権限が管理される。
【0006】
CloudFormationテンプレートは、AWSリソースの集合であるスタック(stack)で管理される。テンプレートを修正して、スタックを指定して再適用することにより、AWSリソースの設定を変更することができる。例えば、CloudFormationテンプレートを用いることにより、IAMも管理することができる。
【0007】
また、1つのシステムを複数のユーザグループにより利用するマルチテナント構成を実現する場合もある(例えば、特許文献1参照。)。この文献に記載されたクラウドにおいては、権限付与部が、各テナントに属するそれぞれのユーザに対して、属するテナントにおいてシステムを利用する権限を付与する。
【先行技術文献】
【特許文献】
【0008】
【文献】特開2020-77225号公報
【非特許文献】
【0009】
【文献】Amazon Web Services Inc.,“アマゾンウェブサービスの概要”,[online],2017年4月,[令和5年1月10日検索],インターネット<URL:https://d1.awsstatic.com/whitepapers/ja_JP/aws-overview.pdf>
【発明の概要】
【発明が解決しようとする課題】
【0010】
グループを構成する複数のアカウントにおいて、統括部署と親子関係がある利用部署(テナント)で利用する場合もある。複数の子アカウント(テナント)がクラウドサービスを利用する場合、共通した利用設定の管理が望ましい。例えば、テナントに対して、統一した利用設定を適用する作業において、テナント数が多い場合、的確な作業には負担が大きい。更に、テナントの個別事情によって、一部の利用設定が異なることもある。更に、利用設定の管理はセキュリティ環境やサービス状況に応じて、適宜、更新される。また、各テナントを管理するための利用設定情報の中には、アカウントを識別するためのアカウントIDやテナントを一意に識別するテナント名等が含まれるリソースもある。例えば、テナント毎の利用設定情報を作成する場合、マスターファイルに汎用表現で記述されていると、汎用表現部分はテナントを示す情報に置き換える作業を行なう必要がある。このように、各テナントの利用設定の更新時における個別の作業には手間がかかる。
【課題を解決するための手段】
【0011】
上記課題を解決する設定管理システムは、複数のテナントの個別機能部に設けた個別更新部と、各テナントの個別更新部に関連付けられた共通更新部を設けた共通機能部と、マスタ設定情報を新たに取得し、前記マスタ設定情報において汎化箇所を特定して、利用設定情報を定義するための更新用テンプレートを作成して、前記共通機能部に供給するプロビジョニング部と、を備え、前記共通機能部が、前記各テナントの個別更新部に前記更新用テンプレートを配布し、前記各個別機能部の個別更新部が、前記更新用テンプレートを用いて、各テナントに応じた利用設定情報を更新する。
【発明の効果】
【0012】
本発明によれば、クラウドサービスにおいて、複数のテナントの利用設定を、効率的かつ的確に管理することができる。
【図面の簡単な説明】
【0013】
【図1】実施形態のシステム概略図である。
【図2】実施形態のハードウェア構成例の説明図である。
【図3】実施形態の処理手順の説明図である。
【図4】実施形態の処理手順の説明図である。
【図5】実施形態の処理手順の説明図である。
【発明を実施するための形態】
【0014】
以下、図1~図5に従って、設定管理システム及び設定管理方法を具体化した一実施形態を説明する。本実施形態では、AWSを親子関係(統括部署、利用部署)で利用する場合に、親アカウントが複数の子アカウント(テナント)の利用設定を一元的に管理する場合を想定する。本実施形態では、利用設定として、権限管理を設定する。
【0015】
図1に示すように、本実施形態では、ネットワークを介して接続された管理端末10、ユーザ端末15、クラウド20を用いる。
(ハードウェア構成例)
図2は、管理端末10、ユーザ端末15、クラウド20等として機能する情報処理装置H10のハードウェア構成例である。
(ハードウェア構成例)
図2は、管理端末10、ユーザ端末15、クラウド20等として機能する情報処理装置H10のハードウェア構成例である。
【0016】
情報処理装置H10は、通信装置H11、入力装置H12、表示装置H13、記憶装置H14、プロセッサH15を有する。なお、このハードウェア構成は一例であり、他のハードウェアを有していてもよい。
【0017】
通信装置H11は、他の装置との間で通信経路を確立して、データの送受信を実行するインターフェースであり、例えばネットワークインターフェースや無線インターフェース等である。
【0018】
入力装置H12は、ユーザの入力を受け付ける装置であり、例えばマウスやキーボード等である。
表示装置H13は、各種情報を表示するディスプレイやタッチパネル等である。
表示装置H13は、各種情報を表示するディスプレイやタッチパネル等である。
【0019】
記憶装置H14は、管理端末10、ユーザ端末15、クラウド20の各種機能を実行するためのデータや各種プログラムを格納する。記憶装置H14の一例としては、ROM、RAM、ハードディスク等がある。
【0020】
プロセッサH15は、記憶装置H14に記憶されるプログラムやデータを用いて、管理端末10、ユーザ端末15、クラウド20における各処理を制御する。プロセッサH15の一例としては、CPUやMPU等がある。このプロセッサH15は、ROM等に記憶されるプログラムをRAMに展開して、各種処理に対応する各種プロセスを実行する。例えば、プロセッサH15は、管理端末10、ユーザ端末15、クラウド20のアプリケーションプログラムが起動された場合、後述する各処理を実行するプロセスを動作させる。
【0021】
プロセッサH15は、自身が実行するすべての処理についてソフトウェア処理を行なうものに限られない。例えば、プロセッサH15は、自身が実行する処理の少なくとも一部についてハードウェア処理を行なう専用のハードウェア回路(例えば、特定用途向け集積回路:ASIC)を備えてもよい。すなわち、プロセッサH15は、以下で構成し得る。
【0022】
(1)コンピュータプログラム(ソフトウェア)に従って動作する1つ以上のプロセッサ
(2)各種処理のうち少なくとも一部の処理を実行する1つ以上の専用のハードウェア回路
(3)それらの組み合わせ、を含む回路(circuitry)
プロセッサH15は、CPU並びに、RAM及びROM等のメモリを含み、メモリは、処理をCPUに実行させるように構成されたプログラムコード又は指令を格納している。メモリすなわちコンピュータ可読媒体は、汎用又は専用のコンピュータでアクセスできるあらゆる利用可能な媒体を含む。
(2)各種処理のうち少なくとも一部の処理を実行する1つ以上の専用のハードウェア回路
(3)それらの組み合わせ、を含む回路(circuitry)
プロセッサH15は、CPU並びに、RAM及びROM等のメモリを含み、メモリは、処理をCPUに実行させるように構成されたプログラムコード又は指令を格納している。メモリすなわちコンピュータ可読媒体は、汎用又は専用のコンピュータでアクセスできるあらゆる利用可能な媒体を含む。
【0023】
(管理端末10、ユーザ端末15、クラウド20の構成)
図1を用いて、管理端末10、ユーザ端末15、クラウド20の構成を説明する。
管理端末10は、複数のテナントにおける利用設定を管理する管理者が用いるコンピュータ端末である。管理端末10は、管理者の指示に応じて、権限管理アカウントでクラウド20にアクセスする。
図1を用いて、管理端末10、ユーザ端末15、クラウド20の構成を説明する。
管理端末10は、複数のテナントにおける利用設定を管理する管理者が用いるコンピュータ端末である。管理端末10は、管理者の指示に応じて、権限管理アカウントでクラウド20にアクセスする。
【0024】
また、ユーザ端末15は、クラウド20を利用する各テナントが用いるコンピュータ端末である。このユーザ端末15は、テナントの指示に応じて、テナントアカウントでクラウド20にアクセスする。
【0025】
クラウド20は、各ユーザの権限管理(アイデンティティ管理)を行なうとともに、ネットワーク管理、権限管理、ログ収集、監査等のサービスを各アカウントに提供するコンピュータシステム(設定管理システム)である。本実施形態では、AWSを用いて実現する。
【0026】
クラウド20は、アクセス管理部211、リソース構築部212等を備える。更に、クラウド20は、管理者によって構築された共通機能部22、個別機能部23等を備える。
アクセス管理部211は、管理端末10、ユーザ端末15からクラウド20にアクセスして一元管理を行なうためのウェブインターフェイスである。アクセス管理部211は、管理者或いは各テナントからのアクセスを認証する。このアクセス管理部211は、マネジメントコンソールによって実現される。そして、アクセス管理部211は、IAMにより、アクセス者の権限に応じたクラウド20の利用管理を行なう。
アクセス管理部211は、管理端末10、ユーザ端末15からクラウド20にアクセスして一元管理を行なうためのウェブインターフェイスである。アクセス管理部211は、管理者或いは各テナントからのアクセスを認証する。このアクセス管理部211は、マネジメントコンソールによって実現される。そして、アクセス管理部211は、IAMにより、アクセス者の権限に応じたクラウド20の利用管理を行なう。
【0027】
リソース構築部212は、JSON形式やYAML形式でクラウド20のリソースを構築する機能部である。このリソース構築部212によって、所望のクラウド環境をテンプレート化しておくことで、同じ環境を作成する時間を削減できる。リソース構築部212は、CloudFormationによって実現される。
【0028】
共通機能部22は、クラウドサービスを利用するための共通機能であり、仮想ネットワークを含めたネットワーク管理(VPN等)、権限管理、ログ収集、監査等の機能を実現する。
【0029】
共通機能部22は、プロビジョニング部C1を備える。
プロビジョニング部C1は、所定のプログラミング言語(本実施形態ではPython)を使用してクラウドアプリケーションリソースを定義するためのオープンソースのソフトウェア開発フレームワークである。本実施形態では、このプロビジョニング部C1は、IaCツール(構成管理ツール)として、開発キットであるCDKにより実現される。プロビジョニング部C1は、共通機能部22に、テンプレートを供給する。後述するように、プロビジョニング部C1によって生成されるテンプレートには、権限管理に関する情報も含まれる。
プロビジョニング部C1は、所定のプログラミング言語(本実施形態ではPython)を使用してクラウドアプリケーションリソースを定義するためのオープンソースのソフトウェア開発フレームワークである。本実施形態では、このプロビジョニング部C1は、IaCツール(構成管理ツール)として、開発キットであるCDKにより実現される。プロビジョニング部C1は、共通機能部22に、テンプレートを供給する。後述するように、プロビジョニング部C1によって生成されるテンプレートには、権限管理に関する情報も含まれる。
【0030】
後述する権限管理処理において、プロビジョニング部C1は、共通機能部22内のデータベースに記録されたマスタ権限情報を取得する。マスタ権限情報には、ロールやポリシーについて、世代管理された権限に関する基本情報が記録される。そして、ロールやポリシーが変更された権限変更情報を取得した場合、プロビジョニング部C1は、権限変更情報に基づいて、次世代のマスタ権限情報に更新する。
【0031】
更に、プロビジョニング部C1は、共通機能部22内のデータベースにテナント毎に記録された個別定義情報を取得する。個別定義情報には、各テナントのロールにおいて、テナント特有の権限設定情報が記録される。
【0032】
個別機能部23は、クラウドサービスを利用する各テナントのサービスを実現する機能である。この場合、個別機能部23は、認証されたアクセス者の権限管理情報(利用設定情報)に応じた権限範囲内でクラウドサービスの利用を許容する。
【0033】
更に、後述する権限管理処理において、個別機能部23は、共通機能部22内のデータベースに記録されたアカウント管理簿を取得する。アカウント管理簿には、テナント毎の固有情報(例えば、アカウントID、テナント名)等が記録される。
【0034】
(権限管理の概要)
図3を用いて、権限管理処理の概要を説明する。
本実施形態では、テナント毎に、クラウド20の利用権限を設定する。このため、プロビジョニング部C1を用いて、共通機能部22において、リソース構築部212で用いるテンプレートTP1を作成する。そして、テンプレートTP1によって定義されたスタックセットST1(共通更新部)により権限管理を行なう。なお、スタックセットST1は、各テナントで用いるスタックの集合体である。
図3を用いて、権限管理処理の概要を説明する。
本実施形態では、テナント毎に、クラウド20の利用権限を設定する。このため、プロビジョニング部C1を用いて、共通機能部22において、リソース構築部212で用いるテンプレートTP1を作成する。そして、テンプレートTP1によって定義されたスタックセットST1(共通更新部)により権限管理を行なう。なお、スタックセットST1は、各テナントで用いるスタックの集合体である。
【0035】
共通機能部22のスタックセットST1は、個別機能部23の各テナントのスタックST2,ST3(個別更新部)に親子関係で関連付けられている。そして、スタックセットST1は、各テナントのスタックST2,ST3にテンプレートを配布する。このスタックST2,ST3により、各テナントの権限管理機能が実現される。この権限管理は、AWSのIAMを用いて実現される。
【0036】
各テナントの権限管理は、ロールとポリシーによって管理される。ロールは、ユーザの各テナントにおける役割である。本実施形態では、各テナントに設定するロールを予め定めておく。ここでは、ロールとして、例えば、3種類(サービス管理者、業務管理者、開発担当者)を設定する。
【0037】
ポリシーは、リソースへのアクセス権限やリソースの利用権限等を定める。
そして、各ロールに対して、必要なポリシーを関連付ける。これにより、各テナントのアクセス者について、ロールを特定するとともに、このロールに関連付けられたポリシーにより、クラウド20の利用権限を特定することができる。
そして、各ロールに対して、必要なポリシーを関連付ける。これにより、各テナントのアクセス者について、ロールを特定するとともに、このロールに関連付けられたポリシーにより、クラウド20の利用権限を特定することができる。
【0038】
【0039】
(ポリシーの管理処理)
図4を用いて、ポリシーの管理処理を説明する。ここでは、プロビジョニング部C1により、ポリシーテンプレート生成部P1が実現される。
図4を用いて、ポリシーの管理処理を説明する。ここでは、プロビジョニング部C1により、ポリシーテンプレート生成部P1が実現される。
【0040】
まず、ポリシーテンプレート生成部P1は、汎化箇所の特定処理を実行する(ステップS11)。具体的には、ポリシーテンプレート生成部P1は、ポリシーの権限変更情報を用いて、マスタ権限情報(マスタ設定情報)において、テナント毎に個別に設定する箇所(テナントによって異なる箇所)を汎化箇所として特定する。ここでは、汎化箇所としては、例えばアカウントIDやテナント名等を示す識別子が記載された箇所を特定する。この汎化箇所は、予め定められた辞書等を用いて特定することができる。
【0041】
次に、ポリシーテンプレート生成部P1は、テナント毎の情報で書き換えられる表現への変更処理を実行する(ステップS12)。具体的には、ポリシーテンプレート生成部P1は、例えば「ACCOUNT_ID」、「TENANT_NAME」のように、汎化箇所に変更可能なパラメータを設定する。この設定も、予め定められた辞書等を用いて行なうことができる。これにより、ポリシー用共通テンプレートTP10(更新用テンプレート)が生成される。
【0042】
次に、共通機能部22は、全テナント共通でスタックセットの更新処理を実行する(ステップS13)。具体的には、共通機能部22は、ポリシー用共通テンプレートTP10を用いて、共通更新部(スタックセット)を更新する。
【0043】
次に、テナント毎に以下の処理を実行する。
テナント〔i〕の個別機能部23は、スタックの更新処理を実行する(ステップS14)。具体的には、個別機能部23は、共通更新部(スタックセット)の更新に応じて配布されたポリシー用共通テンプレートTP10を用いて、個別更新部(スタック)を更新する。次に、個別機能部23は、アカウント管理簿を用いて、個別更新部の汎化箇所に、テナント毎の固有情報を設定する。
テナント〔i〕の個別機能部23は、スタックの更新処理を実行する(ステップS14)。具体的には、個別機能部23は、共通更新部(スタックセット)の更新に応じて配布されたポリシー用共通テンプレートTP10を用いて、個別更新部(スタック)を更新する。次に、個別機能部23は、アカウント管理簿を用いて、個別更新部の汎化箇所に、テナント毎の固有情報を設定する。
【0044】
次に、テナント〔i〕の個別機能部23は、権限管理のポリシー更新を実行する(ステップS15)。具体的には、個別機能部23は、個別更新部を用いて、リソース構築部212により、権限管理情報のポリシーを更新する。
【0045】
(ロールの管理)
図5を用いて、ロールの管理処理の概要を説明する。ここでは、プロビジョニング部C1により、ロールテンプレート生成部P2が実現される。
図5を用いて、ロールの管理処理の概要を説明する。ここでは、プロビジョニング部C1により、ロールテンプレート生成部P2が実現される。
【0046】
まず、ロールテンプレート生成部P2は、汎化箇所の特定処理を実行する(ステップS21)。具体的には、ロールテンプレート生成部P2は、ロールの権限変更情報を用いて、マスタ権限情報において、テナント毎に個別に設定する箇所(テナント毎に異なる箇所)を汎化箇所として特定する。汎化箇所としては、例えばアカウントIDやテナント名等の識別子がある。
【0047】
次に、ロールテンプレート生成部P2は、テナント毎の情報で書き換えられる表現への変更処理を実行する(ステップS22)。具体的には、ロールテンプレート生成部P2は、汎化箇所に変更可能なパラメータ(例えば、「ACCOUNT_ID」、「TENANT_NAME」)を設定する。これにより、テンプレートを作成するためのロール用共通定義情報TP20が生成される。
【0048】
次に、プロビジョニング部C1は、テナント毎に個別定義の反映処理を実行する(ステップS23)。具体的には、プロビジョニング部C1は、テナント毎に個別定義情報TP21を取得する。そして、プロビジョニング部C1は、ロール用共通定義情報TP20に、個別定義情報TP21を追加する。
例えば、テナント〔i〕の個別定義情報TP21を取得した場合には、テナント〔i〕のためのロール用テンプレートTP22が生成される。
例えば、テナント〔i〕の個別定義情報TP21を取得した場合には、テナント〔i〕のためのロール用テンプレートTP22が生成される。
【0049】
次に、共通機能部22は、スタックセットの更新処理を実行する(ステップS24)。具体的には、共通機能部22は、テナント〔i〕のためのロール用テンプレートTP22を配布して、共通更新部(スタックセット〔i〕)を更新する。
【0050】
次に、各テナント〔i〕の個別機能部23は、テナント〔i〕のスタックの更新処理を実行する(ステップS25)。具体的には、個別機能部23は、共通機能部22(スタックセット〔i〕)の更新に応じて配布されたロール用テンプレートTP22を用いて、個別更新部(スタック〔i〕)を更新する。次に、個別機能部23は、アカウント管理簿を用いて、個別更新部の汎化箇所に、テナント毎の固有情報を設定する。
【0051】
次に、各テナント〔i〕の個別機能部23は、テナント〔i〕の権限管理のロール更新を実行する(ステップS26)。具体的には、個別更新部を用いて、リソース構築部212により、権限管理情報のロールを更新する。
【0052】
本実施形態によれば、以下のような効果を得ることができる。
(1)本実施形態では、汎化箇所の特定処理(ステップS11,S21)、テナント毎の情報で書き換えられる表現への変更処理(ステップS12,S22)を実行する。これにより、複数のテナントに対して、統制された権限管理を行なうためのテンプレートを設定することができる。権限構成として、各テナントで共通の統制をかけた権限を付与できる。
(1)本実施形態では、汎化箇所の特定処理(ステップS11,S21)、テナント毎の情報で書き換えられる表現への変更処理(ステップS12,S22)を実行する。これにより、複数のテナントに対して、統制された権限管理を行なうためのテンプレートを設定することができる。権限構成として、各テナントで共通の統制をかけた権限を付与できる。
【0053】
(2)本実施形態では、全テナント共通でスタックセットの更新処理を実行する(ステップS13)。これにより、効率的にテンプレートの配布を行なうことができる。多数のアカウントに統一した権限を適用する作業を行なう場合にも、作業負担を軽減できるとともに、作業ミスを抑制できる。
【0054】
(3)本実施形態では、スタックの更新処理(ステップS14)、権限管理のポリシー更新(ステップS15)を実行する。これにより、関連するテナントについて共通したポリシーを設定することができる。その結果、マルチアカウント環境において、各アカウントで、同じポリシーでの統制を実現できる。
【0055】
(4)本実施形態では、テナント毎に個別定義の反映処理を実行する(ステップS23)。これにより、テナント独自の固有の権限が必要な場合にも、テンプレートに個別に定義することができる。
【0056】
(5)本実施形態では、テナント〔i〕のスタックの更新処理(ステップS25)、テナント〔i〕の権限管理のロール更新(ステップS26)を実行する。これにより、共通したロールに加えて、テナント独自のロールを設定することができる。マルチアカウント環境において、各アカウントで、原則として、共通したロールでの統制を実現するとともに、テナントの独自性を許容することができる。
【0057】
本実施形態は、以下のように変更して実施することができる。本実施形態及び以下の変更例は、技術的に矛盾しない範囲で互いに組み合わせて実施することができる。
・上記実施形態では、設定管理システムをAWSにより構築したが、クラウドプラットフォームはAWSに限定されるものではない。
・上記実施形態では、設定管理システムをAWSにより構築したが、クラウドプラットフォームはAWSに限定されるものではない。
【0058】
・上記実施形態では、プロビジョニング部C1は、テナント毎に個別定義の反映処理を実行する(ステップS23)。ここでは、ロール用テンプレートを生成するが、ポリシー用テンプレートに適用してもよい。これにより、テナント独自の固有のポリシーが必要な場合にも、テンプレートに個別に定義することができる。
【0059】
・上記実施形態では、権限を管理する場合を想定した。適用対象は、権限管理に限定されるものではなく、共通機能部22が提供するネットワーク管理、ログ収集、監査等の各種機能を、テナント毎に統一して設定するようにしてもよい。
【0060】
・上記実施形態では、プロビジョニング部C1において、所定のプログラミング言語としてPythonを用いる。管理者にとって利用しやすい言語であれば、これに限定されるものではない。
【0061】
・上記実施形態では、ロールとして、3種類(サービス管理者、業務管理者、開発担当者)を設定する。ロールの種類は、これに限定されるものではない。
・上記実施形態では、親子関係(統括部署、利用部署)で利用する場合に、親アカウントが複数の子アカウント(テナント)の権限を一元的に管理する場合を想定した。アカウント間に現実の親子関係は必要なく、共通機能部と個別機能部という形で、疑似的な親子関係をアカウント間で築く場合に適用できる。この場合には、例えば、リソース管理アカウントのような新しいアカウントを用意して、それを親にすることも可能である。
また、適用対象も、他のIAMリソース(ユーザやグループ)でも活用できる。
・上記実施形態では、親子関係(統括部署、利用部署)で利用する場合に、親アカウントが複数の子アカウント(テナント)の権限を一元的に管理する場合を想定した。アカウント間に現実の親子関係は必要なく、共通機能部と個別機能部という形で、疑似的な親子関係をアカウント間で築く場合に適用できる。この場合には、例えば、リソース管理アカウントのような新しいアカウントを用意して、それを親にすることも可能である。
また、適用対象も、他のIAMリソース(ユーザやグループ)でも活用できる。
【0062】
・上記実施形態では、プロビジョニング部C1を、CDKにより実現するが、他のIaCツール(構成管理ツール)を用いてもよい。例えば、terraform(登録商標)を用いてもよい。
【0063】
・上記実施形態では、プロビジョニング部C1、共通機能部22、個別機能部23を新規に構築する場合のみならず、既存構築済みのシステムを新たにIaC化することも可能である。この場合には、例えば、AWSのCloudFormationが備えているインポート機能を用いて、後追いで追加できる。
【符号の説明】
【0064】
10…管理端末、15…ユーザ端末、20…クラウド、211…アクセス管理部、212…リソース構築部、22…共通機能部、23…個別機能部、C1…プロビジョニング部、TP21…個別定義情報。
【要約】
【課題】クラウドサービスにおいて、複数のテナントの利用設定を、効率的かつ的確に管理するための設定管理システム及び設定管理方法を提供する。
【解決手段】クラウド20は、複数のテナントの個別機能部23に設けた個別更新部ST2,ST3と、各テナントの個別更新部ST2,ST3に関連付けられた共通更新部ST1を備えた共通機能部22と、を備える。更に、クラウド20は、マスタ権限情報を新たに取得し、マスタ権限情報において汎化箇所を特定して、権限情報を定義するための更新用テンプレートを作成して、共通機能部22に供給するプロビジョニング部C1を備える。そして、共通機能部22が、各個別機能部23の個別更新部ST2,ST3に更新用テンプレートを配布し、各テナントの個別更新部が、更新用テンプレートを用いて、各テナントに応じた権限情報を更新する。
【選択図】図3
【解決手段】クラウド20は、複数のテナントの個別機能部23に設けた個別更新部ST2,ST3と、各テナントの個別更新部ST2,ST3に関連付けられた共通更新部ST1を備えた共通機能部22と、を備える。更に、クラウド20は、マスタ権限情報を新たに取得し、マスタ権限情報において汎化箇所を特定して、権限情報を定義するための更新用テンプレートを作成して、共通機能部22に供給するプロビジョニング部C1を備える。そして、共通機能部22が、各個別機能部23の個別更新部ST2,ST3に更新用テンプレートを配布し、各テナントの個別更新部が、更新用テンプレートを用いて、各テナントに応じた権限情報を更新する。
【選択図】図3
【図1】
【図2】
【図3】
【図4】
【図5】