DocsDigest
一覧へLanguage: EN
OpenAICloudflare2026/04/06 21:00

How we built Organizations to help enterprises manage Cloudflare at scale

要点だけを先に読めるように短く再構成したセクションです。

元記事
OpenAIClaude

Quick Digest

要約

要点だけを先に読めるように短く再構成したセクションです。

openaijamodel: gpt-5-mini-2025-08-07

Organizations(ベータ):企業向けCloudflareの大規模管理機能

organizationsrbacanalyticswafenterprisepermissionsonboarding

Key Points

  • Org Super Administrator導入
  • 組織横断分析ダッシュボード
  • ポリシーの中央共有

Summary

Cloudflareは企業向けにOrganizations(ベータ)を公開しました。Organizationsは複数のCloudflareアカウントを組織レイヤで一元管理する機能で、Org Super Administratorロール、アカウント一覧、組織横断のHTTP分析、共有ポリシー(WAF/Gateway)などを提供します。初期はエンタープライズ向けのセルフサーブ招待方式で段階的に展開されます。

Key Points

  • アーキテクチャ: Tenant上に構築された組織レイヤで既存のアカウントを横断管理。
  • Org Super Administrator: 組織レベルで全アカウントに対するSuper Administrator権限を付与(子アカウントのメンバーシップ不要)。
  • アカウント一覧: 組織にオンボードされたアカウントをフラットに表示・管理。
  • 分析: 組織横断のHTTPトラフィック集計ダッシュボードを提供(今後さらに拡張予定)。
  • 共有設定: あるアカウントのポリシーセットを他アカウントへ共有し、元アカウントの権限保持者が編集可能(WAF/Gateway等)。
  • 性能と変更点: 認可ロジックを統合し、権限チェックの列挙処理で約27%のパフォーマンス改善(多アカウント環境向け最適化)。
  • ロードマップ: 組織監査ログ、組織レベル請求レポート、追加ロール、自動アカウント作成などを予定。現在はエンタープライズのパブリックベータ、順次他プランへ展開予定。
  • 展開手順とセキュリティ: バックフィルは行わずセルフサーブ招待で一件につき1組織を想定。Cloudflareサポートは顧客の設定代行を行いません。

Actionable for engineers

  • エンタープライズのSuper AdministratorはダッシュボードのOrganizationsタブから自社組織をクレームし、管理対象アカウントを追加してください。
  • 組織横断ポリシー(WAF/Gateway)を使ってルール管理を集中化し、各アカウント側の権限モデルを見直すことを推奨します。
  • 大量アカウントを扱うAPIフローでは、権限列挙のレスポンス改善(約27%)を確認し、既存の運用スクリプトや監視を調整してください。

Full Translation

翻訳

原文の流れを保ったまま読める翻訳セクションです。

openaijamodel: gpt-5-mini-2025-08-07

企業が Cloudflare を大規模に管理できるようにするために Organizations をどのように構築したか

概要

Cloudflare は最小の顧客でも使いやすいように設計されていますが、同時に最大規模の企業のニーズに応えるためにスケールすることも重要です。小規模な顧客は個人や小さなチームで運用することが多い一方で、企業では数千人のユーザーが Cloudflare の開発・セキュリティ・ネットワーキング機能を利用します。こうしたスケールは複数のチームや職務にまたがるため複雑さを増します。

企業の多くはチームを分離・自治化するために複数の Cloudflare アカウントを利用しますが、これは管理者にとってコントロールが分断されるという新たな課題を生みます。そこで本日、管理者が複数の Cloudflare アカウントにまたがってユーザー、設定、分析を一元的に管理できる場所を提供する新機能「Organizations」をベータで公開します。

最小権限の原則

最小権限の原則は、企業が複数アカウントを利用する主要な理由のひとつです。Cloudflare の role-based access control (RBAC) システムは多くのリソースに対して細粒度の権限付与を提供しますが、個々のリソースを逐一列挙するのは煩雑になり得ます。そこで企業は各チームのリソースをそのチーム単位で管理できるように複数のアカウントを使うことが多く、アカウント内で有機的にリソースを追加していくことで、管理権限の過剰付与を避けられます。

しかし、複数アカウント構成は管理者にとっては面倒で、レポート作成やポリシー設定などの作業を行うためにはその管理者をすべてのアカウントに追加し適切な権限を与える必要があります。この状態は脆弱で、他の管理者が意図せず権限を剥奪してしまうこともあり得ます。

Organizations の設計

私たちはこうしたシナリオを念頭に置いて Cloudflare Organizations を設計しました。Organizations は階層に新たなレイヤーを追加し、管理者が複数のアカウントをまとめて管理できるようにします。

Organizations は、Cloudflare のパートナーエコシステムの要件を満たすために作成した Tenant システムの上に構築されています。これにより、企業向けに設計した多くの新機能を支える強固な基盤が得られます。

機能

アカウント一覧

アカウント一覧は Organizations の中核です。これは組織にオンボードされたすべてのアカウントのフラットな一覧です。

新しいユーザーロールとして「Org Super Administrator」が組織レベルで管理されます。このロールを持つユーザーは、そのアカウントでも Super Administrator である限り、組織にアカウントを追加できます。

Org Super Administrators

Org Super Administrators は、組織内のすべてのアカウントに対して Super Administrator 権限を持ちます。彼らは子アカウントのメンバーシップを必ずしも必要とせず、アカウントレベルの UI に表示されることはありません。

Org Super Administrator は、今年を通じて組織レイヤーに追加していく予定の多数のロールの最初のものです。

この機能は、レガシーのコードパスを削除しドメインスコープのロールシステムでのすべての認可チェックを統合するために社内で実施した大規模な innersource 開発プロジェクトの集大成です。これを支援するために約 133,000 行の新しいコードを追加し、約 32,000 行の古いコードを削除しました。これは私たちの権限システムに対する最大級の変更の一つです。

この基盤的な改善により、将来的に組織レベル・アカウントレベルの両方で追加のロールを提供しやすくなります。また、/accounts や /zones のような列挙呼び出しでの権限チェックにおいて 27% のパフォーマンス改善も達成しました。これらは数千のアカウントにアクセス可能なユーザーで問題になっていた領域です。

Analytics

Org Super Administrators は、すべてのアカウントとゾーンにまたがる HTTP トラフィックに関する集約ダッシュボードを表示できます。HTTP トラフィック分析は、今年中に対象製品を拡大して提供する予定の多くの分析ダッシュボードの最初のものです。

共有構成

組織全体で共有ポリシーを管理することで、WAF(Web Application Firewall)や Gateway ポリシーのような機能を一つのチームが集中管理できます。Org Super Administrators は、あるアカウントのポリシーセットを組織内の他のアカウントへ共有することができます。つまり、ソースアカウント内でこれらの設定を管理する権限を持つユーザーは、ポリシーセットを更新できます。

これにより、セキュリティアナリストは組織全体の WAF ルールを中央で更新できます。組織管理者や他のアカウントの管理者である必要はありません。

ロードマップ

初期リリースはエンタープライズ顧客のみに限定していますが、数か月以内に従量課金(pay-as-you-go)顧客を皮切りに全顧客へ拡大する予定です。パートナーエコシステムへの拡張も検討していますが、彼ら向けには対処すべき特殊なシナリオがいくつかあります。

この分野のロードマップは多岐にわたります。近日中に提供予定の機能については changelog をご確認ください。

  • 組織レベルの監査ログ
  • 組織レベルの請求レポート
  • 追加の組織レベル分析レポート
  • 追加の組織ユーザーロール
  • セルフサービスのアカウント作成

セキュリティを重視したロールアウト

Organizations は今後数日間かけてエンタープライズ顧客向けにパブリックベータで展開されます。Organizations の導入にあたって、私たちの主要要件は次のとおりです。

  • いかなるユーザーの権限も不当に昇格させないこと
  • 顧客は会社ごとに一つの組織のみを作成すること

これらを満たすために、既存データのバックフィルを行ってお客様の代わりに組織を作成する手法は採らず、セルフサービスによる招待プロセスを採用しました。エンタープライズアカウントの Super Administrator で、あなたの会社の組織をまだ誰も作成していない場合、Cloudflare ダッシュボードに組織作成の招待が表示されます。

組織を作成したら、そのアカウントの Super Administrator であればアカウントを組織に追加できます。もし同じ会社の別のユーザーが既に組織をクレームしている場合、そのユーザーはあなたを Org Super Administrator として招待してあなたのアカウントを組織に追加できるようにするか、あなた側からそのユーザーをあなたのアカウントの Super Administrator として招待してもらい、そのユーザーがあなたのアカウントを組織に追加する、といういずれかが可能です。

このプロセスにより、Super Administrator の承認がないまま誰かが Cloudflare アカウントへの権限を得ることは決して起こりません。Cloudflare サポートが顧客に代わって設定変更を行うことはありませんので、Organizations の社内展開は他の管理者と協力して進めてください。

はじめ方

エンタープライズアカウントの Super Administrator であれば、今すぐ自社の組織をクレームしてください。Organizations の利用に追加料金は発生しません。

ダッシュボードの新しい Organizations タブ、または developer docs で開始手順の詳細を確認できます。エンタープライズ顧客でない場合は、Organizations があなたのプランで利用可能になる時期について changelog をご確認ください。企業向けサービスの詳細を知りたい場合は、enterprise sales チームにお問い合わせください。

Cloudflare の接続クラウドは企業ネットワーク全体を保護し、顧客がインターネット規模のアプリケーションを効率的に構築するのを支援し、あらゆるウェブサイトやインターネットアプリケーションを高速化し、DDoS 攻撃を防ぎ、ハッカーから守り、Zero Trust へ向かう旅を支援します。どのデバイスからでも 1.1.1.1 にアクセスして、インターネットをより速く安全にする無料アプリを始めてください。

私たちのより良いインターネットを構築するというミッションの詳細は start here をご覧ください。新しいキャリアをお探しなら、open positions をご確認ください。

(server-island-start Identity Enterprise)