11.9.10.3. Vault 式制約の設定
デフォルトでは、vault 式の読み書きは機密操作になっています。vault 式の制約を設定すると、読み取りと書き込みのどちらかまたは両方を非機密の操作にすることができます。この制約を変更すると、vault 式を読み書きできるロールの数を増やすことができます。
vault 式の制約は、管理モデルの
/core-service=management/access=authorization/constraint=vault-expression にあります。
vault 式の制約を設定するには、
write-attribute 操作を使用して configured-requires-write および configured-requires-read 属性を true または false に設定します。デフォルトでは、これらの属性は設定されていないため、default-requires-read および default-requires-write の値が使用されます。デフォルトの値は変更できません。
例11.27 vault 式への書き込みを非機密操作にする
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=vault-expression
[domain@localhost:9999 constraint=vault-expression] :write-attribute(name=configured-requires-write, value=false)
{
"outcome" => "success",
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {"outcome" => "success"}},
"server-two" => {"response" => {"outcome" => "success"}}
}}}}
}
[domain@localhost:9999 constraint=vault-expression] :read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-read" => undefined,
"configured-requires-write" => false,
"default-requires-read" => true,
"default-requires-write" => true
}
}
[domain@localhost:9999 constraint=vault-expression]
どのロールが vault 式へ読み書きできるかは、表11.7「vault 式制約の設定結果」 に説明されている設定によって異なります。
表11.7 vault 式制約の設定結果
| Value | requires-read | requires-write |
|---|---|---|
true
|
読み取り操作は機密です。
Auditor、Administrator、および SuperUser のみ読み取りできます。
|
書き込み操作は機密です。
Administrator および SuperUser のみ書き込みできます。
|
false
|
読み取り操作は機密ではありません。
すべての管理ユーザーが読み取りできます。
|
書き込み操作は機密ではありません。
Maintainer、Administrator、および SuperUser が書き込みできます。Deployers はアプリケーションリソースに Vault 式がある場合に書き込みできます。
|