hide この記事はStripeアドベントカレンダー2020の投稿です。
Stripeのユーザー管理系、特にロールの違いをあまり意識したことがなかったので、ざっと整理してみました。
Stripeのユーザー管理
StripeのDashboardは1つのアカウント(チーム)に対して複数のユーザーを設定できます。
そして2020年12月現在では、以下の5種類のロールを設定することができます。
「表示のみ」は事務系利用目的のユーザーに
「表示のみ」で作成したユーザーは手動でStripeのデータを触ったりAPIキー / Webhookなどの開発者向け機能を触ることができません。
残高レポートや入金、Billingなどのレポート閲覧やレポート作成通知を受け取るなどの操作は可能ですので、会計業務に携わる方を追加する場合におすすめです。
「アナリスト」は分析だけでなく広範囲のアクセスが可能
「アナリスト」ロールは意外と触れる範囲が広いです。以下に簡単な比較画像を並べていますが、管理系・開発系以外についてはほぼ自由に触れる状態と言えるでしょう。
クーポン発行や特別値引きなどで定期支払いを操作したいといった要望がある場合には、「表示のみ」ではなく「アナリスト」にすることも検討できそうです。
「サポートスペシャリスト」は返金処理などのサポート業務担当者に
「サポートスペシャリスト」の場合、今度はレポートや残高といった財務系の機能にアクセスできなくなります。その代わりに支払いや定期支払いといった決済系へのアクセスと、返金処理やプランの変更といった顧客サポート系の操作が可能となります。
誤操作での返金や定期支払いの切り戻しなどの業務を行う方がいる様子でしたら、このロールでユーザーを作成するとよいでしょう。
アカウント系だけはさわれない「開発者」
「開発者」までくるとほぼ全ての機能がさわれます。開発者と管理者以外はWebhookやAPIキーの発行もできません。
ただしビジネス設定系、特にメンバーの追加や変更といったチーム操作系へのアクセスが禁じられています。そのため、開発チームでもリーダー・マネージャー職の方は「管理者」でアカウントに招待したほうがよいと思われます。
監査ログは[設定 > セキュリティ履歴]から
「どのユーザーがなにをしたか」については、セキュリティ履歴ページから確認できます。
エクスポートも可能ですので、ログが必要になった場合はエクスポートしてAWSのAthenaやGCPのBigQueryに入れるなどしても良さそうです。
もしくは、WebhookでCatch Allして独自の監査システムに流すということも可能かもしれませんので、この辺りは誰かが事例を紹介してくれるのではと期待して締めたいと思います。