ユーザーロールと権限の設定

Fastly アカウントは、コントロールパネルのロールベースのアクセスコントロールを使用して複数のユーザーが管理できます。これらのコントロールを使用して、ユーザーに割り当てられた役割に基づくサービスアクセスの範囲と、そのサービスアクセスごとに対応する許可レベルを管理することができます。

ユーザーロールとその機能

Fastly ではアカウントへのアクセスを許可された各ユーザーに、以下4つのロールのいずれかを割り当てることができます。各ロールに付与される権限の概要は以下のとおりです。

  • User。 アカウントの全サービスの統計と分析を表示できます。
  • Billing。 アカウントの請求情報を表示できます。アカウントの全サービスの統計と分析情報を表示できます。
  • Engineer。 設定の詳細を表示、パージリクエストの発行、新しいサービスバージョンの有効化などの設定の変更が可能です。これらの権限の中には、サービスごとに制限されるものがあります。
  • Superuser。 サービスの設定、ユーザーとアクセスの管理、アカウント管理機能などのアカウントへのフルアクセス。Superuser はアカウントの所有者でない限り、アカウントの閉鎖やキャンセルができません。

ユーザーロールに付与された権限はどれか1つ選択するようになっており、個別に権限を追加することはできません。具体的には、各ロールは以下の機能にアクセスできます。

User Billing Engineer Superuser
統計ダッシュボード
履歴統計の表示 フルアクセス フルアクセス フルアクセス フルアクセス
リアルタイムのサービスの統計を表示 フルアクセス フルアクセス フルアクセス フルアクセス
設定
サービスの設定を表示 潜在的な制限 フルアクセス フルアクセス フルアクセス
サービスの作成 アクセスなし アクセスなし フルアクセス フルアクセス
サービスの削除 アクセスなし アクセスなし 潜在的な制限 フルアクセス
サービスの設定 アクセスなし アクセスなし 潜在的な制限 フルアクセス
サービスのバージョンの比較 アクセスなし アクセスなし 潜在的な制限 フルアクセス
サービスの無効化 アクセスなし アクセスなし 潜在的な制限 フルアクセス
パージ アクセスなし アクセスなし 潜在的な制限 フルアクセス
生成された VCL の表示とダウンロード アクセスなし アクセスなし 潜在的な制限 フルアクセス
VCL のカスタマイズ アクセスなし アクセスなし 潜在的な制限 フルアクセス
TLS の管理 潜在的な制限 潜在的な制限 潜在的な制限 フルアクセス
アカウント管理
個人プロファイル設定の更新 フルアクセス フルアクセス フルアクセス フルアクセス
企業設定の更新 アクセスなし アクセスなし アクセスなし フルアクセス
会社の連絡先 アクセスなし アクセスなし 読み取り専用 フルアクセス
すべての新規ユーザーロールを招待 アクセスなし アクセスなし アクセスなし フルアクセス
新しいエンジニアとユーザーロールを招待 (API のみ) アクセスなし アクセスなし フルアクセス アクセスなし
ロールと権限の割り当てと変更 アクセスなし アクセスなし アクセスなし フルアクセス
パスワードリセットメールを発行する アクセスなし アクセスなし アクセスなし フルアクセス
アカウントユーザーの削除 アクセスなし アクセスなし アクセスなし フルアクセス
2要素認証の有効化と無効化 フルアクセス フルアクセス フルアクセス フルアクセス
2要素認証の有効化と無効化を全社に適用 アクセスなし アクセスなし アクセスなし フルアクセス
パーソナル API トークンの管理 フルアクセス フルアクセス フルアクセス フルアクセス
アカウント API トークンの取り消し アクセスなし アクセスなし アクセスなし フルアクセス
請求
請求書の表示 アクセスなし フルアクセス アクセスなし フルアクセス
請求履歴の表示 アクセスなし フルアクセス アクセスなし フルアクセス
支払い アクセスなし フルアクセス アクセスなし フルアクセス
クレジットカード情報の更新 アクセスなし フルアクセス アクセスなし フルアクセス
アカウントタイプの変更 アクセスなし フルアクセス アクセスなし フルアクセス

サービスアクセスと権限レベル

すべての User ロールは、現在および将来のアカウントの全サービスへアクセスできるようにデフォルト設定されています。しかし Engineer のロールは、そのデフォルト設定を変更可能であるという点で他と異なります。Superuser は、エンジニアによるアクセスをサービスごとに制限することができ、各サービスの権限レベルを以下のように制御することができます。

  • Read-only。 Engineer は、指定したサービスの設定を表示することはできますが、そのサービスに対するパージ要求の発行や、設定の変更はできません。
  • Purge select。 Engineer は指定されたサービスの設定を表示し、URL 経由によるパージまたはサロゲートキーを利用して、そのサービスに対するパージ要求を発行することができます。そのサービスで Purge all 機能を使用したり、そのサービスの設定を変更したりすることはできません。
  • Purge all。 エンジニアは指定したサービスの設定を表示し、URL、サロゲートキー、または Purge all 機能経由でパージリクエストを発行することができます。ただし、そのサービスの設定を変更することはできません。
  • Full access。 Engineer に、指定したサービスへのフルアクセスを許可します。これには、そのサービスでのすべての方法によるパージ要求の発行権限が含まれます。この権限が与えられた Engineer は、サービスの設定を変更したり、新しいバージョンを有効化したりできるようになります。

権限レベルは付加的です。上位レベルの権限は下位レベルの権限を内包します。Superuser がアカウントに新しいサービスを追加しても、サービスへのアクセス権が制限されている Engineer に対してアクセス権レベルを手動で付与しなければ、これらのサービスへのアクセス権は付与されません。

engineer のロールが割り当てられたユーザーは、新しいサービスを作成できるようになります。この機能は、本番サービスに影響を与えることなく設定オプションについて学ぶ際に特に便利です。アカウントの Superuser が Engineer のサービスに対する権限レベルを変更しない限り、作成したサービスへのフルアクセスが Engineer に自動で付与されるようにデフォルト設定されています。

既存ユーザーのユーザーロールとアクセス権を変更する

Superuser のロールを割り当てられたユーザーは、アカウントでの既存ユーザーの役割、サービスアクセス、権限レベルを変更できます。変更は計画的に行いましょう。

  1. Fastly コントロールパネルにログインし、ユーザーメニューから Account をクリックします。アカウント情報が表示されます。
  2. User management リンクをクリックします。ユーザー管理ページが表示されます。
  3. Active users エリアで、ユーザー名の隣の Options メニューをクリックし、表示されるメニューから Access controls を選択します。選択したユーザーの Edit access control ページが表示されます。
  4. Choose their role から、オプションでそのユーザーの新しいロールを選択します。
  5. オプションで TLS management ボックスをチェックすれば、ユーザーに TLS を設定するためのアクセス権を付与できます。Superuser のロールを所有するユーザーにはデフォルトでこの権限が付与されています。
  6. オプションで、Engineer のロールが割り当てられたユーザーによる特定のサービスへのアクセスを制限するには、Service access オプションから、Limit access to selected services を選択します。

    Engineer ユーザーに対して特定のサービスへのアクセスを制限するための Service access オプションとアクセス制限レベル

  7. Engineer ユーザーの特定のサービスへのアクセスを制限する場合、アカウントに関連付けられたサービスごとに、特定の権限レベルを選択します。
  8. Update をクリックします。これにより、ユーザーのロールと権限レベルが更新されます。

アカウント所有権

お客様の組織で最初にアカウント登録したユーザーには、所有者の特殊なロールが割り当てられ、所有者には Superuser のロールが自動的に与えられます。アカウントのスーパーユーザーは、コントロールパネルの Account controls からアクセスできる Company settings で所有者のロールの権限を変更するか、所有権を譲渡できます。

アカウントの所有者は通常、請求に関する連絡窓口となります。請求書は通常アカウントの所有者に送信されますが、アカウントの請求担当者が指定されている場合、請求書は所有者ではなくその担当者に送信されます。また、アカウントのキャンセルができるのは所有者のみです。

Back to Top