このコンテンツは自動機械翻訳サービスによる翻訳版であり、皆さまの便宜のために提供しています。原本の英語版と異なる誤り、省略、解釈の微妙な違いが含まれる場合があります。ご不明な点がある場合は、英語版原本をご確認ください。
Cloudflareは、小規模なお客様にも使いやすいように設計されていますが、大企業のニーズを満たす拡張性があることも重要です。小規模な顧客が単独または小規模チームで作業することもあるかもしれませんが、大企業では数千人のユーザーがCloudflareの開発者、セキュリティ、ネットワーキング機能を活用していることも少なくありません。これらのユーザーは複数のチームや業務機能を表すため、複雑さが増す可能性があります。
Enterpriseプランのお客様は、多くの場合、複数のCloudflareアカウントを使用してチームをセグメント化します(より多くの自律性と役割の分離を可能にします)が、これにより、管理者が制御を断片化して、新たな問題が発生する可能性があります。
そこで本日、新しいOrganizations機能(ベータ版)を開始します。これは、管理者が多くのCloudflareアカウントにわたってユーザーと設定を管理し、分析を表示できる、一括管理できる場所を提供するものです。
最小特権の原則は、企業が複数のアカウントを使用する背景にある推進要因の1つです。Cloudflareのロールベースのアクセス制御(RBAC)システムは、多くのリソースに対してきめ細かなアクセス許可を提供するようになりましたが、すべてのリソースを1つずつ列挙するのは面倒な場合があります。企業は複数のアカウントを使用しているため、各チームのリソースはそのチームのみで管理されています。これにより、アカウント内での有機的成長が可能になります。必要に応じて新しいリソースを追加でき、管理権限を大幅に集中させることはありません。
複数のアカウントは、組織内のほとんどのユーザーの権限を制限するのに適していますが、管理者にとっては管理が複雑になります。管理者はすべてのアカウントに追加され、レポートやポリシー設定などのタスクを処理するには適切な権限を持つ必要があるためです。この状況は、他の管理者が削除できる可能性があるため、脆弱です。
Cloudflare Organizationsは、これらのシナリオを念頭に置いて設計されています。組織は、管理者がアカウントの集合を一緒に管理できるように、階層に新しい層を追加します。組織は、Cloudflareのパートナーエコシステムのニーズをサポートするために構築されたTenantシステムの上に構築されています。これは、当社が企業を念頭に置いて構築した多くの新機能の強力な基盤となっています。
アカウントリストは組織の中核をなすものです。これは、組織にオンボードされているすべてのアカウントのフラットリストです。「組織スーパーアドミニストレーター」は、組織レベルで管理される新しいユーザー役割です。この役割を持つユーザーは、アカウントのスーパーアドミニストレーターである限り、リストにアカウントを追加することができます。
組織のスーパーアドミニストレーターは、組織内のすべてのアカウントに対するスーパーアドミニストレーターの権限を持ちます。どの子アカウントのメンバーシップも必要とせず、アカウントレベルのUIにも表示されません。組織スーパーアドミニストレーターは、年間を通じて組織レイヤーで追加されることが予想される多くの役割の最初のものです。
この機能は、従来のコードパスを削除し、すべての認証チェックを当社のドメインスコープ指定ロールシステムに統合するために組織内で実行した大規模なインナーソース開発プロジェクトの集大成です。約13万3000行の新しいコードを追加し、これをサポートするために約32,000行の古いコードを削除しました。これは、許可システムにとって最大の変更の1つです。この根本的改善により、組織レベルでもアカウントレベルでも、将来的に追加役割の付与が容易になります。また、これまで何千ものアカウントにアクセスするユーザーに苦労されていた/accountsや/zonesなどの列挙呼び出しにおける権限のチェック方法について、パフォーマンスを27%改善しました。
組織のスーパー管理者は、すべてのアカウントとゾーンからのHTTPトラフィックに関する分析を備えたロールアップダッシュボードを表示できます。HTTPトラフィック分析は、今年中に提供される予定の多くの分析ダッシュボードのうちの最初のものであり、今後さらに多くの製品にこの機能を追加していく予定です。
組織全体で共有されたポリシーを管理することで、1つのチームがWAF(Webアプリケーションファイアウォール)やGatewayポリシーなどの機能を一元的に管理できます。組織のスーパーアドミニストレーターは、1つのアカウントから組織内の他のアカウントへポリシーセットを共有できるようになります。つまり、これらの設定を管理する権限を持つソースアカウントのユーザーは、ポリシーセットを更新できます。そのため、セキュリティアナリストは、組織管理者や組織内の他のアカウントの管理者でなくても、企業全体のWAFルールを一元的に更新できます。
Organizationsの初回導入は企業のお客様のみに限定しておりますが、今後数か月以内にすべてのお客様に拡大し、従量課金プランのお客様から開始する予定です。私たちは、これをパートナーエコシステムにも拡大することに取り組んでいきますが、その前に、いくつかの特別なシナリオに対処する必要があります。
この分野のロードマップは他にも多くあります。近日公開予定の機能については、変更履歴にご注目ください。
-
組織レベルの監査ログ
-
組織レベルの請求レポート
-
より多くの組織レベルの分析レポート
-
追加の組織ユーザーの役割
-
セルフサーブアカウント作成
企業のお客様向けに、今後数日間にわたってパブリックベータ版を展開します。Organizationsを導入する際の当社独自の主要要件は、どのユーザーの権限も昇格させず、お客様がそれぞれに1つの組織のみを作成することです。これらの要件を満たすために、私たちはバックフィルメントを行わず、代わりに組織を作成することを選択せず、セルフサービスの招待プロセスを使用しています。
あなたが企業アカウントのスーパーアドミニストレーターで、他の誰も会社の組織を作成していない場合、Cloudflareダッシュボードに組織を作成するための招待が表示されます。組織を作成した後、そのアカウントのスーパー管理者である場合は、組織にアカウントを追加できます。
社内の他のユーザーがすでに組織を主張している場合、そのユーザーを組織スーパー管理者として招待して、アカウントを組織に追加できるようにするか、アカウントのスーパーアドミニストレーターとして招待して、そのユーザーがアカウントを組織に追加する必要があります。このプロセスにより、スーパーアドミニストレーターが承認に関与していないCloudflareアカウントに対するアクセス権限を、いかなるユーザーも取得することはありません。Cloudflareサポートは、お客様に代わって設定を変更することはありません。そのため、他の管理者と協力して、Organizationsの社内ロールアウトを完了する予定です。
企業アカウントのスーパーアドミニストレーターである場合は、会社の組織名を今すぐ請求してください。Organizationsの使用に追加料金はかかりません。使用開始方法の詳細は、ダッシュボードの新しい「組織」タブ、または開発者向けドキュメントをご覧ください。
Enterpriseプランでないお客様は、変更履歴で、組織がご利用のプランで利用可能になる時期に関する詳細をご確認いただけます。また、当社の企業向けサービスの詳細については、企業セールスチームが本日からご利用を開始できます。