11.9.10.3. Configuration de contraintes d'expressions d'archivage sécurisé
Par défaut, la lecture et l'écriture d'expressions d'archivage sécurisé sont des opérations sensibles. La configuration de contraintes d'expression d'archivage sécurisé permet de définir l'une, ou ces deux opérations à être insensibles. Modifier cette contrainte permet à un plus grand nombre de rôles de lire et d'écrire des expressions d'archivage sécurisé.
La contrainte d'expression de sécurité se trouve dans le modèle de gestion de
/core-service=management/access=authorization/constraint=vault-expression.
Pour configurer la contrainte d'expression d'archivage sécurisé, utilisez l'opération
write-attribute pour définir les attributs de configured-requires-write et configured-requires-read à true ou false. Par défaut, celles-ci ne sont pas définies et les valeurs default-requires-read et default-requires-write sont utilisées. Impossible de modifier les valeurs par défaut.
Exemple 11.27. Comment rendre l'écriture d'expressions d'archivage une opération non sensible
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=vault-expression
[domain@localhost:9999 constraint=vault-expression] :write-attribute(name=configured-requires-write, value=false)
{
"outcome" => "success",
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {"outcome" => "success"}},
"server-two" => {"response" => {"outcome" => "success"}}
}}}}
}
[domain@localhost:9999 constraint=vault-expression] :read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-read" => undefined,
"configured-requires-write" => false,
"default-requires-read" => true,
"default-requires-write" => true
}
}
[domain@localhost:9999 constraint=vault-expression]
Les rôles qui seront en mesure de lire et d'écrire dans les expressions d'archivage sécurisé en fonction de cette configuration sont résumés dans Tableau 11.7, « Résultats des configurations de contraintes d'expressions d'archivage sécurisé ».
Tableau 11.7. Résultats des configurations de contraintes d'expressions d'archivage sécurisé
| Valeur | requires-read | requires-write |
|---|---|---|
true
|
L'opération lecture est sensible.
Seuls les rôles d'
Auditor, Administrator, et SuperUser peuvent lire.
|
L'opération écriture est sensible.
Seuls les rôles
Administrator, et SuperUser peuvent écrire.
|
false
|
L'opération lecture n'est pas sensible.
Tous les utilisateurs de gestion peuvent lire.
|
L'opération d'écriture n'est pas sensible.
Les rôles
Monitor, Administrator, et SuperUser peuvent écrire. Les rôles Deployers peuvent également écrire si l'expression d'archivage sécurisé est dans une ressource d'application.
|