ガバナンス - はじめに
Cloudability ガバナンスでできること
ガバナンスのロードマップを形作る: 2‑Minute アンケート
Cloudability ガバナンスにより、チームはクラウドのコストをプロアクティブに管理し、開発者のワークフロー内で FinOps ポリシーを直接適用することができます。 この機能を使えば、次のことができる:
- 導入前のコスト見積もり:GitHub およびHCP Terraform上で、カスタム価格やEA割引を含むクラウドリソースのコスト見積もりをリアルタイムで確認できます
- リソース選択の最適化: 同等の構成を持つ低コストな AWS EC2 および RDS の代替案を提案します
- IaC レベルでのポリシーの実施: 必須タグキー/値の強制、レガシーリソースプロビジョニングのブロック、チームやアプリケーションの予算しきい値の設定により、コンプライアンスを確保します。
- コンプライアンスの監視: 一元化されたダッシュボードを使用して、組織全体の FinOps ポリシーの遵守状況を追跡します。
- コンプライアンス違反のPRを管理: 組み込みの承認ワークフローにより、コストまたはポリシーのルールに違反するプルリクエストを特定し、レビューします
この機能により、クラウドのコスト管理は事後対応型から事前対応型に移行し、インフラが導入される前に過剰支出やポリシー違反を防ぐことができる。
サポートされる統合
IaC ツール : HCP Terraform、Terraform Enterprise、 Terraform Editions (バージョン 1.10.5 ); Terragrunt (バージョン 0.72.6 )
- VCS:GitHub.com、 GitHub Enterprise Server
- クラウドプロバイダー:AWS、 Azure
ワークフロー - HCP Terraform/Terraform Enterprise
図に示された機能は、VCS駆動型ワークフローおよび GitHub をご利用のお客様向けに提供されています。
CLIまたはAPIによってトリガーされたワークフローは、 Cloudability のガバナンス→プルリクエストページには表示されません。
ステータス更新と検証チェックは、開始元環境(作成済みの場合はGitHub PRページ)には送信されません
ポリシーの検証、強制ブロック、手動承認などのガバナンス操作は、 Cloudability のガバナンスインターフェースでは利用できません。
ワークフロー - Terraform Community
パーミッションの概要
Cloudability ガバナンスへのアクセスは、4つの特定の権限によって制御される。 適切なロール/パーミッションが割り当てられていることを確認する。
- GovernanceFeatureViewOnly - この権限により、ユーザーは Cloudability 「ガバナンス」機能メニュー項目の下にあるすべてのページを閲覧することができる。 この権限は " Cloudability User " ロールに含まれる。
- GovernanceFeatureConfigurationFullAccess - この権限により、ユーザーはコンフィギュレーション機能(コンフィギュレーション詳細の表示、作成、更新)にアクセスすることができます。 この権限は 「 Cloudability Admin 」および 「 Cloudability Governance Automation User」 ロールに含まれる。
- GovernanceFeaturePolicyFullAccess - この権限により、 Cloudability "Governance" 機能メニュー項目にあるポリシー設定機能(ポリシーの表示、作成、更新)にアクセスすることができます。 この権限は 「 Cloudability Governance Policy Admin」 ロールに含まれる。
- GovernanceFeaturePRApproval - この権限により、ユーザーは、ポリシーに準拠していない場合にブロックされているPull Requestを承認することができます。 この権限は 「 Cloudability Governance PR Approver」 ロールに含まれる。
セキュリティ - お客様のコードとCSPインフラがどのように保護されているか
Cloudability ガバナンスは、セキュリティとプライバシーを念頭に設計されており、コストとポリシーのチェックプロセスを通じて、お客様のコードとクラウドサービスプロバイダー(CSP)のインフラが保護されることを保証します。
- GitHub 統合セキュリティ:
IBM Cloudability GitHub アプリは、プルリクエスト(PR)のメタデータの読み取り、プルリクエストへのコメントの投稿、PRチェックステータスの設定のみに使用されます。
- 最小限の権限しか必要としない:
- メタデータとプルリクエストへの読み取り専用 アクセス。
- プルリクエストへの読み書きアクセス。 プルリクエストにコメントを投稿するには、プルリクエストへの書き込みアクセスが必要です。
- チェックへの読み取り/書き込み アクセス権( GitHub PRにガバナンス関連のチェックを追加し、そのステータスを失敗、中立、成功のいずれかに更新するために必要)。
Terraform Communityユーザーの場合、 Cloudability Governanceを呼び出す GitHub Actionは完全にあなたの環境内で実行され、あなたのコードベースへの外部からのアクセスはありません。
- AWS / Azure インフラストラクチャ保護 :
Cloudability Govern anceは、お客様の AWS / Azure 環境にアクセスすることはありません。
その代わりに、 GitHub ActionまたはHCP Terraform経由で渡された静的なTerraformプラン出力を分析します。 Terraformプランの出力は Cloudability 側で永続化されず、Terraformプラン内のあらゆるシークレット/機密情報は、 Cloudability ガバナンスへの入力として提供する前に編集(編集)できます。
- AWS / Azure のアカウントIDは、料金プランの決定にのみ使用されます。認証情報は不要であり、顧客アカウントに対して AWS / Azure のAPIが直接呼び出されることはありません。
すべての価格データは、お客様のインフラストラクチャからではなく、 Cloudability 'の内部価格サービスから取得されます。
このアーキテクチャにより、 IaC のコードとクラウドインフラストラクチャは、機密データの漏洩や高度なアクセス要件のない、セキュアな状態を維持できます。