ForgeVision Engineer Blog

フォージビジョン エンジニア ブログ

Sumo Logic で複数アカウントを管理する方法

Sumo Logic

こんにちは、クラウドインテグレーション事業部の尾谷です。  
今日は、Sumo Logic の運用について触れてみたいと思います。
そして、運用の中でも特に重要なユーザ管理について記載致します。

Sumo Logic はマルチテナントが可能なサービスです

Sumo Logic はマルチテナントに対応したサービスですので、一つのアカウントから複数のユーザを払い出し、関連会社や別部署に提供することが可能です。

f:id:otanikohei:20190726101944p:plain

では、ひとつのアカウントに複数の顧客を紐づけた方が良いのか?
顧客ごとにアカウントを分けて提供した方が良いのか?
Sumo Logic 的ベストプラクティスはどちらなのでしょうか。

ひとつのアカウントで運用する場合の留意点

ひとつのアカウントを使って、複数の顧客情報を運用するには細かな設定が必要です。
具体的にはロールという機能を使って「見せるデータ」と「見せないデータ」を設定します。
具体的に架空の例を挙げてご説明致します。

ロールを正しく設定しないと大変なことに!

仮に、株式会社売内商事 (うれないしょうじ) というセキュリティソフトを開発する会社があるとします。
売内商事は、Sumo Logic を絡めて標的攻撃型のセキュリティリスクからシステムを保護する SIEM サービスを提供することになりました。

  1. 最初に、会計監査業務をしている A 社と契約しサービス提供を始めました。
  2. 次に、外資系商社である B 社とも契約しました。
  3. そして最後に、広告デザイン会社である C 社とも契約しました。

f:id:otanikohei:20190726103033p:plain

そして 売内商事 は、自社保有アカウントを使って各社用にそれぞれの会社用にユーザを発行して使ってもらいました。

f:id:otanikohei:20190725160703p:plain  
サービス提供を始めてから ひと月が経ち、売内商事の営業さんが使い勝手を伺いにA 社へ訪問しました。
すると、社長から言われました。
 

「今週から C 社のファイルサーバの利用頻度が見えるようになった。
 それと使い始めてから B 社の営業社員の勤怠状況が確認できる。
 お宅も儲かってるねぇー。
 まさかうちは他社から見えてたりしないだろうな?」

先方からこのようなお話をいただいたら大変です!会社の信用は一瞬で失墜してしまいます。

ロールを使って細かく制御する

ひとつのアカウントで運用する場合は、ロールを使ってアクセスできる情報を細かく制御する必要があります。
 
ロールは、[Administration] > [Users and Roles] と順にクリックし、[Roles] タブをクリックすると表示できます。
f:id:otanikohei:20190725162930p:plain

Sumo Logic は、最初から Administrator と Analyst というデフォルトロールが用意されています。 Administrator は契約したアカウントのルート権限ロールなので編集ができませんし、全てのデータにアクセスできます。

f:id:otanikohei:20190725163408p:plain
 
Analyst は、読み取り専用のユーザロールです。すべてのデータにアクセスできますが、編集はできません。
Administrator ロールの [Capabilities] タブと Analyst ロールの [Capabilities] を比べてみると、Administrator のロールはすべてのチェックが入ってグレーアウト (編集できない)されているのに対し、Analyst ロールは、View Collectors という読み取り専用チェックのみされているのが分かります。

f:id:otanikohei:20190725180844p:plain

ロールは複数アタッチ可能

ロールはユーザに複数アタッチできます。
複数アタッチした場合は、一番権限が少ないロールが優先されます。

f:id:otanikohei:20190725181233p:plain

例えば、アカウント内に AWS Lambda を読み込んだグラフと、box の hoge.txt という名前のファイルをトラックしたメトリックと、アクセスログをファイルアップロードしたグラフがあるとします。
f:id:otanikohei:20190725181312p:plain

発行したユーザアカウント「test」に Analyst ロールだけ付与していると、上記 3 つすべてのデータにアクセスができます。
試しにAWS Lambda の情報を [Start] してみると、データが表示されます。

f:id:otanikohei:20190726104329p:plain

このユーザ「test」に、AWS Lambda の情報を見えなくするフィルターを設定してみます。
(先頭に!マークをつけるとデータアクセスを拒否します。)

f:id:otanikohei:20190726105519p:plain

再度、ユーザ「test」で [Start] してみました。
データが表示されませんでした。

f:id:otanikohei:20190726105853p:plain

結論、アカウントを別にした方がリスクも手間もない

ひとつのアカウントで運用する場合は、上記のように細かくロールを設定していく必要があります。
現状は、閲覧範囲をワンクリックで切り替える機能がないため、アカウントを分けて運用する方がリスクも手間も軽減されます。
 
なお、最初の話に戻りますが Sumo Logic のベストプラクティスは、アカウントを分ける運用です。
アカウントの切り替えは、以下記事でご紹介しておりますので、ご興味を持たれた方はご覧ください。
techblog.forgevision.com

最後までお読みくださり、ありがとうございました。