メンバーアカウント管理
EMQX Cloudのメンバーアカウント管理機能は、企業が細分化されたマルチロール管理とアクセス制御を実現するための重要なコンポーネントです。この機能により、ユーザーはメンバーアカウントを作成・管理し、異なる役割と権限を割り当てることができ、複雑なチームコラボレーションのニーズに対応しながら、リソースとデータの安全かつ効率的な利用を保証します。
本ページでは、メンバーアカウント管理機能の包括的なガイドを提供し、メンバーアカウントの作成、役割権限の割り当て、メンバーアカウントの一般的な操作管理について説明します。これにより、企業は効果的なユーザー管理を通じてコラボレーションとセキュリティを最大化できます。
メンバーアカウントシステム
メンバーアカウントとは、EMQX Cloudにおいてルートユーザー(または管理者アカウント)が作成・有効化する独立したアカウントです。各メンバーアカウントには、管理者、プロジェクト管理者、経理担当者、監査担当者などの特定の役割が割り当てられ、それぞれに定義された権限範囲があります。これらの役割は、プロジェクトやデプロイメント管理、財務業務、監査など多様なシナリオをカバーしています。
役割ベースの権限システムにより、企業は特定の機能モジュールや操作をメンバーアカウントに割り当てることができ、責任に基づいたプロジェクトやリソースの管理が容易になります。
EMQX Cloudはまた、メンバーアカウント管理のための直感的なインターフェースを提供し、ユーザーがプロジェクトの認可、役割の変更、パスワード管理、アカウントの有効化・無効化を行えるようにしています。
役割と権限
管理者:このアカウントはルートユーザーと同等のプラットフォーム全権限を持ち、サブアカウントシステム内のスーパ管理者として機能します。管理者はメインアカウントと同じ機能を持ちながらも、メンバーアカウント階層の一部です。
プロジェクト管理者:認可されたプロジェクトの閲覧権限に加え、デプロイメントの修正および削除が可能です。この役割は主にプロジェクトのデプロイメント管理を目的としています。例えば、組織や部門が特定のプロジェクトクラスターを専属で管理する場合、指定された担当者をプロジェクト管理者として割り当て、許可されていないプロジェクトへのアクセスを制限できます。
プロジェクトユーザー:プロジェクトの閲覧権限とデプロイメントの閲覧・編集権限を持ちます。通常、プロジェクトユーザーはビジネス担当者であり、プロジェクトやデプロイメントの閲覧に加え、デプロイメントの詳細確認、データ統合やモニタリング機能の利用など、関連する業務ニーズに対応します。
プロジェクトビューアー:割り当てられたプロジェクトおよびそのデプロイメントに対して読み取り専用アクセス権を持ちます。
経理担当者:財務管理権限を持ち、プロジェクトやデプロイメントの閲覧も可能です。財務担当者はプラットフォームアカウントの現在の請求状況を監視し、残高や請求書などの管理を行います。
監査担当者:プロジェクト、デプロイメント、サブユーザーおよび財務情報の閲覧が可能です。監査担当者の役割は社内監査のニーズに対応するために設計されており、プラットフォームの各種機能に対して読み取り専用アクセスを提供します。
メンバーアカウントログイン
チームメンバーは、ルート(メイン)アカウントとは別の専用メンバーアカウントログインページからログインします。認証情報を入力後、割り当てられた役割(例:プロジェクト管理者やプロジェクトユーザー)に基づいてプロジェクトや機能にアクセスできます。
以下は現在のチームメンバーサインイン画面です:
ログインセキュリティ:アカウントロック機構
セキュリティ強化のため、EMQX Cloudはメンバーアカウントに対してログイン保護機構を実装しています:
- 30分間に5回以上のログイン試行(成功・失敗問わず)があると、メンバーアカウントは一時的にロックされます。
- ロックされた場合、30分間待機してから再度ログインを試みる必要があります。
メンバーアカウントの作成
新しいメンバーアカウントは、ルートユーザーまたは管理者のみが作成可能です。
- EMQX Cloudコンソールの左メニューからチームをクリックします。
- ページ右上の**+メンバー招待**をクリックします。
- メンバー招待ダイアログで以下を入力します:
- メンバーアカウント:新規メンバーのメールアドレスを入力します。
- パスワード:初期パスワードを設定します。後でルートユーザーまたはメンバー自身が変更可能です。
- 役割:1つ以上の役割(例:プロジェクト管理者、プロジェクトユーザー)を選択します。
- 備考:アカウントの用途を記述する任意のフィールド(例:「北米クラスター管理者」)。
- 確認をクリックして招待を完了します。
メンバーアカウントの有効化
アカウント作成後、招待されたユーザーに有効化メールが送信されます。
注意
有効化リンクの有効期限は1時間です。この期間内に認証および初回ログインを完了してください。
アカウントを有効化するには:
- メールを開き、有効化リンクをクリックしてメールアドレスの認証を行います。
- メールに記載された固有のメンバーアカウントログインURLを使用してEMQX Cloudにログインします。
メールには以下の2つのリンクが含まれています:
- 有効化/ログインリンク(初回アクセス用、有効期限あり)
- メンバーアカウント専用ログインURL(通常のアクセス用)
有効化後、メンバーはルートユーザーによって割り当てられた役割と権限に応じてプラットフォームにアクセスできます。特定のプロジェクトへのアクセスが必要な場合は、ルートユーザーまたは管理者が該当プロジェクトにメンバーを追加する必要があります。
メンバーアカウントの管理
ルートユーザー(管理者)または監査担当者のみがチームページにアクセスし、メンバーアカウントを管理できます。
- ルートユーザー(管理者):すべてのユーザー管理操作にフルアクセス可能です。
- 監査担当者:メンバーアカウント一覧の閲覧に限定した読み取り専用アクセスです。
チームページには、現在のすべてのメンバーアカウントと割り当てられた役割、ステータス、二要素認証設定、利用可能な操作が一覧表示されます。メンバーアカウントのステータスはメール認証が完了して初めて有効化されます。
チームページの上部には、メンバーアカウント専用のログインURLが表示されています。このリンクはワークスペース固有のもので、メンバーがプラットフォームへのアクセス方法を忘れた場合に共有してください。
プロジェクトの割り当て
新規メンバーをプロジェクト管理者、プロジェクトユーザー、またはプロジェクトビューアーの役割で作成すると、プロジェクトアクセスの割り当てを促すリマインダーが表示されます。プロジェクトが割り当てられていない場合、メンバーはログイン後にリソースを閲覧できません。
プロジェクトを割り当てるには:
- 対象メンバーの操作列にあるプロジェクト割り当てをクリックします。
- プロジェクト割り当てウィンドウで:
- 割り当てるプロジェクトの役割を選択します。
- リストから1つ以上のプロジェクトを選択します。
- 確認をクリックして割り当てを適用します。
注意事項:
- プロジェクト管理者、プロジェクトユーザー、プロジェクトビューアーの役割は明示的なプロジェクト割り当てが必要です。
- 管理者、監査担当者、経理担当者はグローバルロールであり、すべてのプロジェクトにデフォルトでアクセス可能です:
- 管理者:すべてのプロジェクトにフルアクセス(割り当て不要)。
- 監査担当者および経理担当者:すべてのプロジェクトに読み取り専用アクセス(割り当て不要で、割り当てオプションは無効化されます)。
アカウントにプロジェクト管理者とプロジェクトユーザーの両方の役割がある場合は、役割ごとに権限を設定してください。
その他の操作
各メンバーの操作列には、ルートユーザーまたは管理者権限が必要な追加操作があります:
パスワード変更:メンバーアカウントのパスワードを更新します。
役割変更:メンバーアカウントの役割を変更または追加します。
有効化メール再送:未認証ユーザーに対して有効化メールを再送します。
有効化/無効化:プラットフォームへのアクセスを制御します。無効化されたメンバーはログインできず、プロジェクトメンバーリストにも表示されません。
2FA解除:二要素認証(2FA)を有効化済みのメンバーアカウントから解除します。
削除:メンバーアカウントを完全に削除します。この操作は取り消せません。
役割権限マトリックス
ユーザー管理機能は、企業の役割ベース管理ニーズに対応するため、詳細な権限マトリックスを提供しています。各役割には特定の操作およびプロジェクト権限が割り当てられています。
注:✓(許可)、✗(拒否)、読み取り専用(閲覧のみ)
| 権限 | プロジェクト管理者 | プロジェクトユーザー | プロジェクトビューアー | 経理担当者 | 監査担当者 | |
|---|---|---|---|---|---|---|
| デプロイメント | デプロイメント一覧の閲覧 | ✓ | ✓ | ✓ | ✓ | ✓ |
| デプロイメント詳細の閲覧(デプロイメント内の全機能) | ✓ | ✓ | ✓ | ✓ | ✓ | |
| 新規デプロイメントの作成 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| デプロイメントの他プロジェクトへの移動 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| デプロイメントの起動/停止 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| デプロイメントの削除 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| デプロイメント名の変更 | ✓ | ✓ | ✗ | ✗ | ✗ | |
| デプロイメントのティア変更 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| サーバレスの支出上限変更 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| BYOCライセンスの更新 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| ポート管理 | ✓ | ✓ | ✗ | ✗ | ✗ | |
| TLS/SSL設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| デプロイメントAPIキー | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| VPC/PrivateLink設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| NATゲートウェイ/内部エンドポイント設定 | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| アクセス制御設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| モニタリング管理 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| データ統合設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| クラスター連携設定(Dedicated Flex) | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| ゲートウェイ設定(Dedicated Flex) | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| ログ | ✓ | ✓ | ✓ | ✓ | ✓ | |
| オンラインテスト | ✓ | ✓ | ✗ | ✗ | ✗ | |
| Smart Data Hub(Dedicated Flex) | サブスクライブ/サブスクライブ解除 | ✓ | ✗ | ✗ | ✗ | ✗ |
| スキーマレジストリ | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| スキーマ検証 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| メッセージ変換 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| メンバーアカウント | メンバーアカウント一覧の閲覧 | ✗ | ✗ | ✗ | ✗ | ✓ |
| メンバーアカウント操作 | ✗ | ✗ | ✗ | ✗ | ✗ | |
| プロジェクト管理 | プロジェクト一覧の閲覧 | ✓(認可されたプロジェクトのみ) | ✓(認可されたプロジェクトのみ) | ✓(認可されたプロジェクトのみ) | ✓ | ✓ |
| 新規プロジェクトの作成 | ✗ | ✗ | ✗ | ✗ | ✗ | |
| プロジェクトの削除 | ✗ | ✗ | ✗ | ✗ | ✗ | |
| プロジェクト名および備考の編集 | ✗ | ✗ | ✗ | ✗ | ✗ | |
| プロジェクトメンバーの追加 | ✗ | ✗ | ✗ | ✗ | ✗ | |
| 請求 | 請求概要 | ✗ | ✗ | ✗ | ✓ | ✓ |
| 支払い情報の変更 | ✗ | ✗ | ✗ | ✓ | ✗ | |
| 請求書ページの閲覧 | ✗ | ✗ | ✗ | ✓ | ✓ | |
| サービス別請求ページの閲覧 | ✗ | ✗ | ✗ | ✓ | ✓ | |
| クーポンの閲覧 | ✗ | ✗ | ✗ | ✓ | ✓ | |
| 請求書の閲覧 | ✗ | ✗ | ✗ | ✓ | ✓ | |
| 請求書のダウンロード | ✗ | ✗ | ✗ | ✓ | ✗ | |
| サブスクリプションの更新 | ✓ | ✗ | ✗ | ✗ | ✗ | |
| 監査ログ | ✗ | ✗ | ✗ | ✗ | ✓ | |
| プラットフォームAPIキー | プラットフォームAPIキーの閲覧 | ✗ | ✗ | ✗ | ✗ | ✓ |
| プラットフォームAPIキーの管理 | ✗ | ✗ | ✗ | ✗ | ✗ | |
| チケット | ✓ | ✓ | ✓ | ✓ | ✓ | |