DocsDigest
Back to listLanguage: JA
OpenAICloudflareApr 6, 2026, 9:00 PM

How we built Organizations to help enterprises manage Cloudflare at scale

A condensed section focused on the key takeaways first.

Original Post
OpenAIClaude

Quick Digest

Summary

A condensed section focused on the key takeaways first.

openaienmodel: gpt-5-mini-2025-08-07

How we built Organizations to help enterprises manage Cloudflare at scale

organizationsrbacenterpriseanalyticswafiammulti-account

Key Points

  • Org Super Administrator role
  • Cross-account analytics and shared policies
  • Self-serve, security-first beta rollout

Summary

Cloudflare Organizations is a new enterprise-layer construct (built on the Tenant system) that lets administrators manage collections of Cloudflare Accounts together. It introduces an Org Super Administrator role with cross-account administrative capabilities, provides roll-up analytics and shared policy distribution (e.g., WAF and Gateway), and uses a security-first, self-serve invitation flow for beta onboarding. The feature is in public beta for enterprise customers with no additional fee.

Key Points

  • Account list: flat list of onboarded accounts managed at the organization level.
  • Org Super Administrator: organization-scoped role that has Super Administrator permissions across all child accounts without being listed in each account UI.
  • Shared configurations: central policy sets can be shared from a source account to other accounts so teams can update WAF/Gateway rules centrally without org admin privileges.
  • Analytics: roll-up HTTP traffic dashboard across accounts/zones; more org analytics planned.
  • Security-first rollout: no automatic backfill; an enterprise Super Admin must create the organization via self-serve invitation to avoid privilege elevation.
  • Technical improvements: consolidation onto domain-scoped roles, ~133k lines added and ~32k removed, and a ~27% improvement in permission-check performance for enumeration calls.
  • Roadmap highlights: organization-level audit logs, billing reports, additional analytics, more org user roles, self-serve account creation, and partner support to follow.
  • Support model: Cloudflare support will not make configuration changes for customers; coordinate internally to complete org rollouts.

Actionable notes for engineers

  • If you are a Super Administrator of an enterprise account, claim your organization from the Dashboard > Organizations tab to start onboarding accounts.
  • Expect centralized policy distribution for WAF/Gateway and a cross-account analytics view; plan integration with your existing reporting and change-management processes.
  • Monitor the changelog and developer docs for upcoming APIs and organization-level features.

Full Translation

Translations

A translation section that keeps the flow of the original article.

openaijamodel: gpt-5-mini-2025-08-07

企業が Cloudflare を大規模に管理できるようにするために Organizations をどのように構築したか

概要

Cloudflare は最小の顧客でも使いやすいように設計されていますが、同時に最大規模の企業のニーズに応えるためにスケールすることも重要です。小規模な顧客は個人や小さなチームで運用することが多い一方で、企業では数千人のユーザーが Cloudflare の開発・セキュリティ・ネットワーキング機能を利用します。こうしたスケールは複数のチームや職務にまたがるため複雑さを増します。

企業の多くはチームを分離・自治化するために複数の Cloudflare アカウントを利用しますが、これは管理者にとってコントロールが分断されるという新たな課題を生みます。そこで本日、管理者が複数の Cloudflare アカウントにまたがってユーザー、設定、分析を一元的に管理できる場所を提供する新機能「Organizations」をベータで公開します。

最小権限の原則

最小権限の原則は、企業が複数アカウントを利用する主要な理由のひとつです。Cloudflare の role-based access control (RBAC) システムは多くのリソースに対して細粒度の権限付与を提供しますが、個々のリソースを逐一列挙するのは煩雑になり得ます。そこで企業は各チームのリソースをそのチーム単位で管理できるように複数のアカウントを使うことが多く、アカウント内で有機的にリソースを追加していくことで、管理権限の過剰付与を避けられます。

しかし、複数アカウント構成は管理者にとっては面倒で、レポート作成やポリシー設定などの作業を行うためにはその管理者をすべてのアカウントに追加し適切な権限を与える必要があります。この状態は脆弱で、他の管理者が意図せず権限を剥奪してしまうこともあり得ます。

Organizations の設計

私たちはこうしたシナリオを念頭に置いて Cloudflare Organizations を設計しました。Organizations は階層に新たなレイヤーを追加し、管理者が複数のアカウントをまとめて管理できるようにします。

Organizations は、Cloudflare のパートナーエコシステムの要件を満たすために作成した Tenant システムの上に構築されています。これにより、企業向けに設計した多くの新機能を支える強固な基盤が得られます。

機能

アカウント一覧

アカウント一覧は Organizations の中核です。これは組織にオンボードされたすべてのアカウントのフラットな一覧です。

新しいユーザーロールとして「Org Super Administrator」が組織レベルで管理されます。このロールを持つユーザーは、そのアカウントでも Super Administrator である限り、組織にアカウントを追加できます。

Org Super Administrators

Org Super Administrators は、組織内のすべてのアカウントに対して Super Administrator 権限を持ちます。彼らは子アカウントのメンバーシップを必ずしも必要とせず、アカウントレベルの UI に表示されることはありません。

Org Super Administrator は、今年を通じて組織レイヤーに追加していく予定の多数のロールの最初のものです。

この機能は、レガシーのコードパスを削除しドメインスコープのロールシステムでのすべての認可チェックを統合するために社内で実施した大規模な innersource 開発プロジェクトの集大成です。これを支援するために約 133,000 行の新しいコードを追加し、約 32,000 行の古いコードを削除しました。これは私たちの権限システムに対する最大級の変更の一つです。

この基盤的な改善により、将来的に組織レベル・アカウントレベルの両方で追加のロールを提供しやすくなります。また、/accounts や /zones のような列挙呼び出しでの権限チェックにおいて 27% のパフォーマンス改善も達成しました。これらは数千のアカウントにアクセス可能なユーザーで問題になっていた領域です。

Analytics

Org Super Administrators は、すべてのアカウントとゾーンにまたがる HTTP トラフィックに関する集約ダッシュボードを表示できます。HTTP トラフィック分析は、今年中に対象製品を拡大して提供する予定の多くの分析ダッシュボードの最初のものです。

共有構成

組織全体で共有ポリシーを管理することで、WAF(Web Application Firewall)や Gateway ポリシーのような機能を一つのチームが集中管理できます。Org Super Administrators は、あるアカウントのポリシーセットを組織内の他のアカウントへ共有することができます。つまり、ソースアカウント内でこれらの設定を管理する権限を持つユーザーは、ポリシーセットを更新できます。

これにより、セキュリティアナリストは組織全体の WAF ルールを中央で更新できます。組織管理者や他のアカウントの管理者である必要はありません。

ロードマップ

初期リリースはエンタープライズ顧客のみに限定していますが、数か月以内に従量課金(pay-as-you-go)顧客を皮切りに全顧客へ拡大する予定です。パートナーエコシステムへの拡張も検討していますが、彼ら向けには対処すべき特殊なシナリオがいくつかあります。

この分野のロードマップは多岐にわたります。近日中に提供予定の機能については changelog をご確認ください。

  • 組織レベルの監査ログ
  • 組織レベルの請求レポート
  • 追加の組織レベル分析レポート
  • 追加の組織ユーザーロール
  • セルフサービスのアカウント作成

セキュリティを重視したロールアウト

Organizations は今後数日間かけてエンタープライズ顧客向けにパブリックベータで展開されます。Organizations の導入にあたって、私たちの主要要件は次のとおりです。

  • いかなるユーザーの権限も不当に昇格させないこと
  • 顧客は会社ごとに一つの組織のみを作成すること

これらを満たすために、既存データのバックフィルを行ってお客様の代わりに組織を作成する手法は採らず、セルフサービスによる招待プロセスを採用しました。エンタープライズアカウントの Super Administrator で、あなたの会社の組織をまだ誰も作成していない場合、Cloudflare ダッシュボードに組織作成の招待が表示されます。

組織を作成したら、そのアカウントの Super Administrator であればアカウントを組織に追加できます。もし同じ会社の別のユーザーが既に組織をクレームしている場合、そのユーザーはあなたを Org Super Administrator として招待してあなたのアカウントを組織に追加できるようにするか、あなた側からそのユーザーをあなたのアカウントの Super Administrator として招待してもらい、そのユーザーがあなたのアカウントを組織に追加する、といういずれかが可能です。

このプロセスにより、Super Administrator の承認がないまま誰かが Cloudflare アカウントへの権限を得ることは決して起こりません。Cloudflare サポートが顧客に代わって設定変更を行うことはありませんので、Organizations の社内展開は他の管理者と協力して進めてください。

はじめ方

エンタープライズアカウントの Super Administrator であれば、今すぐ自社の組織をクレームしてください。Organizations の利用に追加料金は発生しません。

ダッシュボードの新しい Organizations タブ、または developer docs で開始手順の詳細を確認できます。エンタープライズ顧客でない場合は、Organizations があなたのプランで利用可能になる時期について changelog をご確認ください。企業向けサービスの詳細を知りたい場合は、enterprise sales チームにお問い合わせください。

Cloudflare の接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを高速化し、DDoS 攻撃を防ぎ、ハッカーから守り、Zero Trust へ向かう旅を支援します。どのデバイスからでも 1.1.1.1 にアクセスして、インターネットをより速く安全にする無料アプリを始めてください。

私たちのより良いインターネットを構築するというミッションの詳細は start here をご覧ください。新しいキャリアをお探しなら、open positions をご確認ください。

(server-island-start Identity Enterprise)