%201.png){kind=logo}
グループ内のサーバーの管理
概要
複数のサーバーをグループ化して、アクセス可能なアカウントやポリシーを一度に適用できます。特定の目的に応じてサーバーグループを作成することで、ポリシーを一括して管理したり、グループ化されたサーバーのアクセス許可を個々のユーザーやユーザーグループに一括して付与したりすることができます。
サーバーグループを作成するために必要なリソースを事前に登録することをお勧めします。
管理者 > サーバー > サーバーアカウント管理 > サーバーアカウントテンプレート
管理者 > サーバー > サーバーアカウント管理 > SSH キーの構成
サーバーグループの作成
管理者 > サーバー > 接続管理 > サーバーグループ > サーバーグループの作成
管理者 > サーバー > 接続管理 > サーバーグループ メニューに移動します。
右上隅の
+ グループ作成ボタンをクリックします。以下の情報を入力して、グループを作成します:
名前: 画面上でサーバーグループを区別するための名前を入力します。
説明: サーバーグループに関する追加情報を入力します。
サーバータグ: サーバータグを使用して、サーバーグループに含めるサーバーを絞り込んで追加します。
保存ボタンをクリックして、グループを保存します。
サーバーグループは、タグに基づいて管理することができます。サーバーグループのサーバータグに特定のタグを指定することで、そのタグを持つすべてのサーバーを動的にサーバーグループに含めることができます。
サーバーグループの作成/編集
以下の情報を入力することで、サーバーグループを作成することができます。作成後に編集できる項目もあります。
1. 基本情報の入力とタグを使ったサーバーの追加
名前: サーバーグループの名前を入力します。
説明: サーバーグループの説明を入力します。複数の管理者が関わる場合は、サーバーグループの識別を容易にするため、目的に応じて名前と説明を詳細に入力することをお勧めします。
サーバータグ: グループ化するサーバーのタグを指定し、サーバーグループ内のターゲットを動的に管理します。タグを使って追加したサーバーは、手動でサーバーテーブルから削除することはできません。
2. 手動によるサーバーの追加
サーバーセクションで、サーバーグループに属するサーバーを確認するか、手動でサーバーをグループに追加します。
右上の
サーバーを追加ボタンをクリックすると、サーバーのリストがポップアップ表示されます。ポップアップで、サーバーグループに追加する個々のサーバーを選択し、
追加ボタンをクリックします。ポップアップでフィルター (:필터:) 機能を使用すると、さまざまな条件に基づいてサーバーをフィルタリングできます。
最後に、サーバーグループに追加されたサーバーを表示することができます。
手動で追加したサーバーに関連するタグを削除しても、手動で追加したサーバーはサーバーグループから除外されません。手動による削除は、サーバーテーブルでチェックボックスを選択し、
削除ボタンをクリックすることでのみ実行できます。接続テストでは、サーバーグループに追加されたサーバーとアカウント情報を確認できます。
接続テストを使用するには、少なくとも 1つのサーバーとアカウントをサーバーグループに追加する必要があります。
接続テストは、サーバーグループを保存した後でのみ使用できます。
3. アカウントの登録
接続にアクセスするために必要なアカウント情報を入力します。アカウントを追加するには、2つの方法があります:
サーバーアカウントテンプレート メニューからすでに登録されているアカウントをインポートするには、
コピーボタンをクリックしします。サーバーアカウントテンプレートを登録するには、サーバーアカウントテンプレートを参照してください。
または、
+ アカウントを追加を使用して、手動でアカウントを追加します。
アカウントごとに、以下の情報を入力または設定する必要があります:
アカウント: 個々のアカウントを区別するための名前を入力します。
自動ログイン: 自動ログインを設定できます。オフに設定すると、パスワード認証のみを使用できます。
プロビジョニング: 自動パスワード変更用のサーバーアカウントを指定できます。
このオプションは、管理者 > 一般 > 会社管理 > セキュリティ > サーバー接続のセキュリティで パスワードプロビジョニングが有効になっている場合にのみ使用できます。
このオプションは、シークレットストアが QueryPie に設定されている場合にのみ表示されます。
認証タイプ: 個々のアカウントの認証方法を選択します。パスワード方式と SSH キー方式から選択できます。SSH キー方式を選択する場合は、まず自動ログインの設定をオンに変更します。
権限: 認証方法がパスワードの場合は、認証用のパスワードを入力します。SSH Key の場合は、SSHキーの構成に登録済みのキーを選択します。
プロトコル: アカウントで SSH または SFTP アクセスを許可するかどうかを設定します。
3-1. シークレットストア (HashiCorp Vault) を利用したサーバーグループ認証の設定
サーバーグループにアカウント情報を登録する際、シークレットストア連携を利用することで、事前に設定したシークレットストア認証情報を利用して接続することができます。シークレットストアにあらかじめ保存されたサーバー認証情報により、ユーザーは保存されたサーバー認証情報を使用してリモートサーバーに接続できるため、セキュリティが強化されます。サーバーグループで定義されたサーバーは、サーバーグループと同じシークレットストアを使用するよう強制されます。
管理者 > サーバー > 接続管理 > サーバーグループ メニューに移動し、
+ グループ作成ボタンをクリックして、新しいサーバーグループを作成します。この方法は、管理者 > サーバー > サーバーアカウント管理 > サーバーアカウントテンプレート メニューの構成と同じです。
シークレットストア フィールドで、以前に登録したシークレットストアを選択します。
シークレットストアに保存されているシークレットエンジン タイプの K/V アイテムのみがサポートされます。
+ アカウントを追加ボタンをクリックします。エイリアスフィールドに、ユーザーに表示するサーバーアカウント名を入力します。
アカウント/オーソリティー フィールドに Vault Path を入力します。
パスの形式は、
prod_os/data/linux?accountのように入力できます。この例では、Vault の実際のパスは
prod_os > linuxで、キーは account です。真ん中の
/dataパスは必ず追加してください。
保存ボタンをクリックして、サーバーグループ情報を保存します。
3-2.サーバーグループ内のシークレットストアを使用した認証の設定 (HashiCorp Vault SSH OTP Engine ベース)
HashiCorp Vault の SSH OTP エンジンを利用することで、パスワードレスでサーバーアカウントを管理することができます。ただし、Vault のサーバーエージェントであるvault-ssh-helperがサーバーにインストールされている必要があります。詳細な手順については、HashiCorp Vault の公式ガイドを参照してください。
管理者 > サーバー > 接続管理 > サーバーグループ メニューに移動し、
+ グループ作成ボタンをクリックして新しいサーバーグループを作成します。これは、管理者 > サーバー > サーバーアカウント管理 > サーバーアカウントテンプレート メニューと同じ設定方法です。
入力フィールドのシークレットストア フィールドで、以前に登録したシークレットストア エントリを選択します。
シークレットストア設定に保存されている利用可能なシークレットエンジンタイプから、SSH OTP エントリを選択します。
+ アカウントを追加ボタンをクリックします。アクセスするアカウントを入力します。このアカウントは、Vault OTP ロールの作成時に許可するユーザーに含める必要があります。
オーソリティー フィールドに、Vault Pathを入力します。
パスは、
engine/creds/roleの形式で入力する必要があります。
4.サーバーグループの所有者の割り当て
サーバーグループの所有者を割り当て、ワークフローの承認者に指定することができます。
右上隅の
+ 所有者を割り当てるボタンをクリックすると、ユーザーとユーザーグループのポップアップ ウィンドウが表示 されます。ポップアップ ウィンドウで、サーバーグループの所有者に指定するユーザーまたはユーザーグループを選択し、
Saveボタンをクリックします。サーバーグループの所有者に指定したユーザーまたはユーザーグループを確認できます。
保存ボタンをクリックして保存します。