Wallarm Consoleでテナントアカウントを作成¶
以下の手順は、テナントアカウントを正しく構成するためのものです。
The term "partner client"
Previously, "tenant" was referred to as "partner client". We further use the term "tenant".
テナントアカウントの設定¶
テナントアカウントを設定するには、以下の手順を実施してください:
-
Wallarm Consoleにサインアップし、ご利用のアカウント向けにマルチテナンシー機能有効化のリクエストをWallarm technical supportへ送信します。
-
テナントアカウントを作成します。
-
テナント及びそのアプリケーションに特定のトラフィックを関連付けます。
ステップ1: サインアップしてマルチテナンシー機能有効化リクエストを送信¶
-
US CloudまたはEU CloudでWallarm Consoleにアクセスし、登録フォームに入力し内容を確認してください。
企業メールアドレス
企業メールアドレスを使用してサインアップしてください。
-
メールボックスを確認し、受信したメッセージ内のリンクをクリックしてアカウントを有効化してください。
-
Wallarm technical supportに対して、アカウントでのマルチテナンシー機能有効化リクエストを送信してください。リクエストには以下の情報を含めてください:
- 使用しているWallarm Cloudの名前(US CloudまたはEU Cloud)
- グローバルアカウント及びテクニカルテナントアカウントの名称
- テナントアカウントへアクセスを付与する従業員のメールアドレス(マルチテナンシー機能有効化後は、従業員を自ら追加できます)
- ブランディングされたWallarm Consoleのロゴ
- Wallarm Consoleのカスタムドメイン、そのドメインの証明書と暗号化キー
- あなたのテクニカルサポート用メールアドレス
リクエストを受領後、Wallarm technical supportは以下の処理を行います:
-
Wallarm Cloud内にグローバルアカウントとテクニカルテナントアカウントを作成します。
-
あなたをテクニカルクライアントアカウントのユーザーリストに役割「Global administrator」として追加します。
-
従業員のメールアドレスが提供された場合、Wallarm technical supportはテクニカルテナントアカウントのユーザーリストに役割「Global read only」として従業員を追加します。
未登録の従業員には、新たなパスワード設定リンクが記載されたメールが送信され、テクニカルテナントアカウントへのアクセスが可能となります。
-
あなたのUUID(マルチテナンシーを利用して分離環境を運用するWallarm partner companyまたはWallarm clientを示すメインテナントUUID)を送信します。
受領したUUIDは以降の手順で必要となります。
ステップ2: テナントを作成¶
Wallarm Console経由¶
Global administratorアカウントで、Wallarm Console → tenant selector → Create tenantを使用してテナントを作成できます。
新しいテナント向けに、新たなAdministratorユーザーを作成できます。招待メールは指定されたアドレスに送信されます。
Wallarm API経由¶
テナントを作成するには、Wallarm APIへ認証済みリクエストを送信します。認証済みリクエストは、ご自身のAPIクライアントまたは認証方式が定義されているWallarm API Consoleから送信できます:
-
Wallarm API Consoleからリクエストを送信する場合は、Global administratorユーザーとしてWallarm Consoleにサインインし、以下のURLで利用可能なWallarm API Consoleページを更新する必要があります:
- US Cloudは https://apiconsole.us1.wallarm.com/
- EU Cloudは https://apiconsole.eu1.wallarm.com/
-
ご自身のAPIクライアントからリクエストを送信する場合、リクエストにGlobal Administratorの権限を持つAPI tokenを渡す必要があります.
この手順で、グローバルアカウントに連携したテナントアカウントが作成されます。
-
以下のパラメーターを用いて、ルート
/v1/objects/client/createへPOSTリクエストを送信してください:パラメーター 説明 リクエスト部 必須 X-WallarmApi-TokenGlobal Administratorの権限を持つAPI token. Header ご自身のAPIクライアントからリクエストを送信する場合は必須 nameテナントの名称. Body 必須 vuln_prefixWallarmが脆弱性追跡及びテナントとの関連付けに使用する脆弱性プレフィックス. このプレフィックスは4つの大文字または数字を含み、テナントの名称に関連している必要があります(例:テナント "Tenant" の場合は TNNT).Body 必須 partner_uuidグローバルアカウント作成時に受領したメインテナントUUID. Body 必須 ご自身のAPIクライアントから送信したリクエストの例
-
レスポンスから
uuidパラメーターの値をコピーしてください。このパラメーターはテナントアカウントにトラフィックを関連付ける際に使用されます.
作成されたテナントは、global users向けにWallarm Consoleに表示されます。例えば、Tenant 1やTenant 2が該当します:
ステップ3: テナントに特定のトラフィックを関連付ける¶
設定のタイミング
この設定はノードのデプロイ時に実施され、すべてのテナントのトラフィックが単一のWallarmノードにより処理されているまたは処理される場合にのみ適用されます。
各テナントのトラフィックを別々のノードで処理している場合は、この手順をスキップし、ノードのデプロイと設定に進んでください.
Wallarm Cloudにどのトラフィックがどのテナントアカウントに表示されるかの情報を提供するため、作成したテナントに特定のトラフィックを関連付ける必要があります。これを実現するには、NGINXの設定ファイルにおいて、テナントのuuid(ステップ3で取得)をwallarm_partner_client_uuidディレクティブの値として指定します。例えば:
server {
server_name tenant1.com;
wallarm_partner_client_uuid 11111111-1111-1111-1111-111111111111;
...
}
上記の設定では、tenant1.comを対象とするトラフィックがクライアント11111111-1111-1111-1111-111111111111に関連付けられます.
アカウントへのユーザーアクセスの提供¶
-
テクニカルテナントアカウントには、ユーザーに付与できるglobalおよびregular役割が存在します.
Globalユーザーはすべての連携されたテナントアカウントへアクセスできます.
Regularユーザーはテクニカルテナントアカウントのみへのアクセスが可能です.
-
一部のテナントアカウントには、ユーザーに付与できるのはregular役割のみです.
ユーザーは特定のテナントアカウント内で、ブロックされたリクエストの追跡、発見された脆弱性の解析、およびフィルタリングノードの追加設定を行うことができます. 役割が許可している場合、ユーザーは相互に自らを追加することが可能です.
Wallarm Consoleにおけるテナントアカウントの無効化と有効化¶
Wallarm Consoleでは、Global administratorロールを持つユーザーが、その管理対象のグローバルアカウントに連携しているテナントアカウントを無効化できます。テナントアカウントが無効化されると:
-
このテナントアカウントのユーザーはWallarm Consoleへアクセスできなくなります.
-
このテナントレベルに設置されたフィルタリングノードはトラフィックの処理を停止します.
無効化されたアカウントは削除されず、再度有効化することが可能です.
テナントアカウントを無効化するには、tenant selector内のテナントメニューからDeactivateを選択し、確認してください。テナントアカウントは無効化され、テナントリストから非表示となります.
以前に無効化されたテナントアカウントを再度有効化するには、tenant selectorでShow deactivated tenantsをクリックし、該当テナントのActivateを選択してください.