状況によっては、Microsoft のサポート エージェントで OpenShift クラスター リソースへのアクセスが必要になる場合があります。 Azure Lockbox 機能は Azure Red Hat OpenShift と連携して、顧客のクラスター リソースにアクセスするという Microsoft サポートからの要求を確認し、承認または拒否する方法を提供します。 これをできることは、金融業界、行政界、あるいはリソースへのアクセスに関してさらなる精査がある他の規制業界にとって重要になりえます。
Azure Lockbox があれば、サポート チケットが作成されると、Microsoft サポート エージェントにクラスター リソースへアクセスする同意を与えることが可能になります。 サポート エンジニアが行えるアクションは、以下に一覧したものに限られます。 Azure Lockbox から、サポート エージェントが行おうとしている操作について正確に伝えられます。
「カスタマー ロックボックス」でロックボックス機能の詳細についてご覧ください。
アクセス要求プロセス
Azure Lockbox ワークフローは、次の主要手順で構成されます。
- サポート チケットが Azure portal から開かれます。 このチケットは Microsoft のカスタマー サポート エンジニアに割り当てられます。
- カスタマー サポート エンジニアはこの要求を確認し、問題を解決する次の手順を決めます。
- 要求でサポート エンジニアが以下に記載した操作のいずれかを行う必要があるとき、ロックボックス要求が開始されます。 要求が [Customer Notified](お客様に通知済み) 状態になり、アクセスを許可する前のお客様の承認待ちになります。
- メールが Microsoft からお客様に送信されて、保留中のアクセス要求について伝えられます。
- お客様は Azure portal にサインインしてロックボックス要求を見て、その要求を承認するかあるいは拒否します。
選択の結果は次のようになります。
- 承認: アクセスが Microsoft のエンジニアに付与されます。 アクセスが許可されるのは既定の 8 時間です。
- 拒否: サポート エンジニアによる管理者特権のアクセス要求は拒否され、以降の操作は行われません。
「カスタマー ロックボックス--ワークフロー」でアクセス要求プロセスの詳細についてご覧ください。
運用面の制限事項
- ロックボックス機能は、カスタマー サポート チケットの場合のみ機能します。
- お客様がアクセスを許可できるのは、ロックボックス インターフェイスを経た場合のみです。
- 顧客承認が与えられるまで行えるアクションはありません。
ロックボックスを有効にする
カスタマー ロックボックス ブレードの [管理モジュール] からロックボックスを有効にできます。 ロックボックスを有効にすると、そのサブスクリプション内のすべてのクラスターに適用されます。
注
カスタマー ロックボックスを有効にするには、ユーザー アカウントに全体管理者の役割が割り当てられている必要があります。
ロックボックス アクション
以下のアクションは、サポート エンジニアが続行するためにロックボックス承認が必要です。
- Kubernetes オブジェクトを作成する
- Kubernetes オブジェクトを更新する
- Kubernetes オブジェクトを削除する
- OpenShift 名前空間でポッドからログを取得する
- Kubernetes オブジェクトをリスト表示または取得する
監査ログ
ロックボックス ログはアクティビティ ログに格納されます。 Azure portal で [アクティビティ ログ] を選択し、カスタマー ロックボックス要求に関連する監査情報を表示します。 詳細については、「カスタマー ロックボックス、監査ログ」を参照してください。