ユーザーロールと権限の設定

複数のユーザーによってアカウントが管理される場合がよくあります。 組織内での役割に基づいて、各ユーザーが異なるタイプのアクセスを必要とする場合があります。 コントロールパネル内のコントロール機能を使用してアクセスを管理し、割り当てられたロールに基づいてサービスへのアクセスのスコープと権限レベルを制限できます。

ユーザーロールとその機能

アカウントに招待される際、ユーザーには特定のロールが割り当てられます。 このロールは、お客さまの企業がユーザーをアカウントに招待するときに、実行する主なビジネス機能に基づいてグループ化するための方法だと考えてください。割り当てられたロールによって、さまざまなものを表示およびコントロールできる権限が得られます。

• User ロールには通常、サービス設定とコントロールに関する基本情報を表示する (管理ではありません) 限定的な権限が付与されます。リアルタイム統計データと履歴統計データを表示することもできます。請求情報や支払い情報にはアクセスできません。
• Billing ロールには通常、サービス設定、請求書およびアカウント請求履歴に関する基本情報を表示する (管理ではありません) フルアクセスが付与されます。支払い情報とアカウントタイプを管理し、リアルタイム統計データと履歴統計データを表示することもできます。
• Engineer ロールには通常、サービスを作成し、それらのサービスの設定を管理する権限が付与されます。しかしながら、これらの権限の一部がサービスごとに制限されている場合もあります。このロールを割り当てられた場合、API 経由で新しいエンジニアおよびユーザーロールを招待することができます。請求情報や支払い情報にアクセスすることはできません。
• Superuser ロールにはアカウントへのフルアクセスが付与されます。サービス設定やアカウント設定のすべての側面を管理する権限があり、請求情報や支払い情報、TLS 管理へのフルアクセスも含まれます。このロールを割り当てられていても、アカウント所有者でない限り、アカウントをクローズまたはキャンセルすることはできません。

ユーザーロールに付与される権限は選択制であり、追加することはできません。ロールに関係なく、個人のプロフィール、個人の多要素認証、個人 API トークンの管理、基本的な統計情報の表示、Fastly カスタマーサポートへのヘルプ要請の送信は実行できます。

アクセス権限と許可されているアクション

アカウントで実行できるアクションは、各ロールに関連付けられているアクセス権限によって管理されます。 スーパーユーザーは、CDN および Compute の各サービスについて、また Fastly の Next-Gen WAF をご購入いただいている場合は各ワークスペースについて、これらのアクセス権限を個別に設定することができます。

CDN および Compute サービスへのアクセス権限

デフォルトではすべてのロールに対して、今後作成されるサービスも含め、アカウントのすべての CDN サービスおよび Compute サービスへのアクセスがある程度許可されます。 ただし Engineer ロールは特別で、以下の権限レベルを使用してサービスごとにアクセスを制限することができます。

• Read-only エンジニアは特定のサービスの設定を表示することはできますが、そのサービスに対するパージ要求を発行したり、設定を変更したりすることはできません。
• Purge select エンジニアは特定のサービスの設定を確認したり、URL 経由またはサロゲートキーを利用して、そのサービスに対してパージリクエストを発行したりすることもできます。 サービスに Purge all 機能を使用したり、そのサービスの設定を変更したりすることはできません。
• Purge all エンジニアは、特定のサービスの設定を表示し、PURGE ALL 機能経由でサービス全体にパージ要求を発行することができます。ただし、そのサービスの設定を変更することはできません。
• Full access エンジニアに特定のサービスへのフルアクセスを許可します。これには、そのサービス上で任意の方法でパージ要求を発行する権限も含まれます。この権限が与えられたエンジニアは、そのサービスの設定を変更したり、新しいバージョンを有効化したりできるようになります。

サービスへのアクセス権限レベルは追加的であり、選択的ではありません。 上位レベルの権限には下位レベルの権限も含まれます。スーパーユーザーがアカウントに新しいサービスを追加しても、サービスへのフルアクセス権を持つエンジニアでなければ、スーパーユーザーが主導で権限レベルを付与しないかぎりこれらのサービスにアクセスすることはできません。

ワークスペースへのアクセス権限

Fastly の Next-Gen WAF をご購入いただいている場合、ロールによって特定のワークスペースへのアクセスがある程度許可されます。 以下のように、各ロールごとにワークスペースに対するコントロールが段階的に大きくなります。

• User ロールと Billing ロールには、特定のワークスペースへのアクセス権限が付与されており、それらに関連する項目 (ユーザー、ルール、シグナル、監査ログなど) を表示できますが、作成または編集することはできません。 これらのロールはアカウントの「観察者」であると考えてください。
• Engineer ロールは特定のワークスペースにアクセスすることができ、設定を表示および編集することができますが、作成や削除はできず、アカウント全体の設定を管理することもできません。
• Superuser ロールは、すべてのワークスペースとアカウント機能にアクセスできます。 ワークスペースを作成および削除し、すべてのワークスペースの設定を編集することができます。 また、アカウントにユーザーを招待したり、アカウントからユーザーを削除したり、ユーザーのロールを管理したりすることもできます。

既存ユーザーのユーザーロールとアクセス権を変更する

スーパーユーザーのロールが割り当てられている場合、アカウント上で既存ユーザーのロール、サービス、ワークスペースへのアクセス、または権限レベルを変更することができます。 変更は慎重かつ計画的に行ってください。

既存のユーザーのロールとアクセス権限を変更するには、次の手順を実行してください。

1. Fastly コントロールパネルにログインします。
2. Account > User management に移動します。
3. Active users セクションで、ユーザー名の横にある Options メニューをクリックし、Access controls を選択します。
4. (オプション) Role の選択肢から、そのユーザーの新しいロールを選択します。
5. (オプション) TLS management ボックスを選択または選択を解除することで、ユーザーに TLS 設定へのアクセスを付与または削除できます。スーパーユーザーのロールを持つユーザーには、デフォルトでこの権限が付与されています。この権限を他のロールに付与することもできます。
6. (オプション) 以下を実行して、この Engineer ユーザーの 選択したサービスへのアクセスを制限します。**
   • CDN & Compute service access コントロールから、Limit access to selected services を選択します。
   • Manage service access コントロールから、このユーザーがアクセスできる各サービスに特定の 権限レベル を選択します。特定のサービスを非表示にするには、権限を空白のままにします。
7. (オプション) 以下を実行して、この Engineer ユーザーの 選択したワークスペースへのアクセスを制限 します。
   • Next-Gen WAF workspace access コントロールから、Limit access to selected workspaces を選択します。
   • Manage service access コントロールから、該当するワークスペースの横にあるスイッチをクリックして、アクセスを許可します。
8. Save をクリックします。これにより、ユーザーのロールと権限レベルが更新されます。

アカウント所有権

お客様の組織で最初にアカウントに登録したユーザーには、特殊な所有者ロールが割り当てられ、スーパーユーザーのロールが自動的に与えられます。アカウントのスーパーユーザーは、コントロールパネルの Account controls からアクセスできる Company 設定で所有者ロールの権限を変更するか、所有権を譲渡することができます。

アカウント所有者は通常、請求に関する主な連絡窓口となります。請求書は通常アカウント所有者に送信されますが、アカウントの請求担当者が指定されている場合、請求書は所有者ではなくその担当者に送信されます。また、アカウントのキャンセルができるのは所有者のみです。