セキュリティ強化のため、EMQXプラットフォームはサブアカウントログインに「アカウントロック」機能を実装しています。
- 30分間に5回以上のログイン試行(成功・失敗問わず)があると、アカウントは一時的にロックされます。
- ロック後は30分間ログイン試行ができません。
## サブアカウントの作成と有効化
### サブアカウントの作成
サブアカウントはルートユーザーまたは管理者のみが作成可能です。
1. コンソールの上部メニューから**サブアカウント**をクリックします。
2. **+ サブアカウント作成**をクリックし、必要事項を入力します:
- **サブアカウント**:招待するユーザーのメールアドレスを入力します。
- **パスワード**:パスワードを設定します(後で管理者またはサブアカウント自身が変更可能)。
- **役割**:1つ以上の役割を割り当てます。
- **備考**:任意の追加情報を入力できます。
3. **確定**をクリックして作成を完了します。
### アカウントの有効化
サブアカウントはメール認証後に有効化が必要です。招待されたユーザーは有効化メールを受け取り、メール内のリンクをクリックしてアカウントを認証・有効化します。
招待メールには初回有効化・ログイン用のアドレスと、以降の通常ログイン用のアドレスの2つが記載されています。初期パスワードはサブアカウントを作成したユーザー(ルートユーザーまたは管理者)が設定します。
::: warning 注意
招待メールの有効化リンクは1時間の有効期限があります。指定時間内にログイン認証を完了してください。
:::
> 画像の最初のリンクは初回有効化・ログイン用、2つ目のリンクは以降の通常ログイン用です。混同しないようご注意ください。
サブアカウントがログインすると、ルートユーザーまたは管理者が設定した役割権限に従ってプラットフォームを管理できます。特定のプロジェクトへのアクセスが必要な場合は、ルートユーザーまたは管理者にお問い合わせください。
## サブアカウントの管理
ユーザー管理機能は、フル操作権限を持つ管理者とユーザー一覧を閲覧できる監査担当者の2種類のサブアカウント役割にのみ提供されます。
ユーザー管理ページの上部には、サブアカウント専用のログインアドレスが表示されます。ログインアドレスを忘れたメンバーに送信可能です。
プロジェクトリストには現在のサブアカウント情報が表示されます。サブアカウントはメール認証を完了して初めて有効化されます。プロジェクト管理者またはプロジェクトユーザーの役割で新規ユーザーを作成する際には、そのユーザーにプロジェクトを認可するかどうかの確認が表示されます。認可しなければ、ログイン後にプロジェクトやデプロイメントへのアクセス権はありません。
プロジェクト認可操作はアカウント視点で変更可能で、現在の役割に特定のプロジェクトを紐付けます。なお、役割が会計担当者、監査担当者、管理者のみの場合は、プロジェクト認可機能はグレーアウトします。管理者はすべてのプロジェクト権限にデフォルトでアクセスでき、会計・監査役割はすべてのプロジェクトに対して読み取り専用アクセスがデフォルトで付与されているためです。
アカウントがプロジェクト管理者とプロジェクトユーザーの両方の役割を持つ場合は、役割を切り替えて認可管理を行ってください。
### その他の操作オプション
その他の操作では、サブアカウントに対する追加のアクションが可能です。
**パスワード変更**:ルートユーザーまたは管理者がサブアカウントのパスワードを変更できます。
**役割変更**:サブアカウントの役割を変更または追加できます。
**無効化/有効化**:サブアカウントを無効化すると、再度有効化されるまでログインできなくなります。
役割が無効化されると、プロジェクトへの紐付けができず、プロジェクトセンターの紐付けプロジェクト一覧にも表示されません。
**削除**:アカウントの削除は取り消し不可です。
## 役割権限マトリックス
ユーザー管理機能は、企業の役割ベース管理ニーズに対応する詳細な権限マトリックスを提供します。各役割には特定の操作およびプロジェクト権限が割り当てられています。
**注**:✓(許可)、✗(拒否)、読み取り専用(閲覧のみ)
| 権限 | プロジェクト管理者 | プロジェクトユーザー | 会計担当者 | 監査担当者 | |
|---|---|---|---|---|---|
| デプロイメント | デプロイメント一覧の閲覧 | ✓ | ✓ | ✓ | ✓ |
| デプロイメント詳細の閲覧(デプロイメント内の全機能) | ✓ | ✓ | ✓ | ✓ | |
| 新規デプロイメントの作成 | ✓ | ✗ | ✗ | ✗ | |
| デプロイメントの他プロジェクトへの移動 | ✓ | ✗ | ✗ | ✗ | |
| デプロイメントの開始/停止 | ✓ | ✗ | ✗ | ✗ | |
| デプロイメントの削除 | ✓ | ✗ | ✗ | ✗ | |
| デプロイメント名の変更 | ✓ | ✓ | ✗ | ✗ | |
| デプロイメントのティア変更 | ✓ | ✗ | ✗ | ✗ | |
| Serverlessの支出上限変更 | ✓ | ✗ | ✗ | ✗ | |
| BYOCライセンスの更新 | ✓ | ✗ | ✗ | ✗ | |
| ポート管理 | ✓ | ✓ | ✗ | ✗ | |
| TLS/SSL設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| デプロイメントAPIキー | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| VPC/PrivateLink設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| NATゲートウェイ/内部エンドポイント設定 | ✓ | 読み取り専用 | 読み取り専用 | 読み取り専用 | |
| アクセス制御設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| モニタリング管理 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| データ統合設定 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| クラスター連携設定(専用) | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| ゲートウェイ設定(専用) | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| ログ | ✓ | ✓ | ✓ | ✓ | |
| オンラインテスト | ✓ | ✓ | ✗ | ✗ | |
| Smart Data Hub(専用) | サブスクライブ/サブスクライブ解除 | ✓ | ✗ | ✗ | ✗ |
| スキーマレジストリ | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| スキーマ検証 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| メッセージ変換 | ✓ | ✓ | 読み取り専用 | 読み取り専用 | |
| サブアカウント | サブアカウント一覧の閲覧 | ✗ | ✗ | ✗ | ✓ |
| サブアカウント操作 | ✗ | ✗ | ✗ | ✗ | |
| プロジェクト管理 | プロジェクト一覧の閲覧 | ✓(認可されたプロジェクトのみ) | ✓(認可されたプロジェクトのみ) | ✓ | ✓ |
| 新規プロジェクトの作成 | ✗ | ✗ | ✗ | ✗ | |
| プロジェクトの削除 | ✗ | ✗ | ✗ | ✗ | |
| プロジェクト名および備考の編集 | ✗ | ✗ | ✗ | ✗ | |
| プロジェクトへのサブアカウント紐付け | ✗ | ✗ | ✗ | ✗ | |
| 請求 | 請求概要 | ✗ | ✗ | ✓ | ✓ |
| 支払い情報の変更 | ✗ | ✗ | ✓ | ✗ | |
| 請求書ページの閲覧 | ✗ | ✗ | ✓ | ✓ | |
| サービス別課金ページの閲覧 | ✗ | ✗ | ✓ | ✓ | |
| クーポンの閲覧 | ✗ | ✗ | ✓ | ✓ | |
| 請求書の閲覧 | ✗ | ✗ | ✓ | ✓ | |
| 請求書のダウンロード | ✗ | ✗ | ✓ | ✗ | |
| サブスクリプション更新 | ✓ | ✗ | ✗ | ✗ | |
| 監査ログ | ✗ | ✗ | ✗ | ✓ | |
| プラットフォームAPIキー | プラットフォームAPIキーの閲覧 | ✗ | ✗ | ✗ | ✓ |
| プラットフォームAPIキーの管理 | ✗ | ✗ | ✗ | ✗ | |
| チケット | ✓ | ✓ | ✓ | ✓ | |