11.9.10. 制約の設定
11.9.10.1. 機密性制約の設定
各機密性制約は、「機密」とみなされるリソースのセットを定義します。通常、機密リソースとは、パスワードなどの秘密にしなければならないリソースや、ネットワーキング、JVM 設定、システムプロパティーなどのサーバーに深刻な影響を与えるリソースのことです。アクセス制御システム自体も機密とみなされます。リソースの機密性は、特定リソースの読み取り、書き込み、またはアドレス指定の可能なロールを制限します。
機密性制約の設定は、管理 API の
/core-service=management/access=authorization/constraint=sensitivity-classification にあります。
管理モデル内で、各機密性制約は
classification として識別されます。classification (分類) は types にグループ化されます。39 個の分類が含まれ、それらは 13 個のタイプにグループ化されます。
機密性の制約を設定するには、
write-attribute 操作を使用して configured-requires-read、configured-requires-write、または configured-requires-addressable 属性を設定します。操作のタイプを機密にするには、true を値として設定します。機密にしない場合は false を設定します。デフォルトではこれらの属性は設定されておらず、default-requires-read、default-requires-write、および default-requires-addressable の値が使用されます。configured 属性の値が設定されると、デフォルトの代わりにその値が使用されます。デフォルト値は変更できません。
例11.25 読み取りシステムプロパティーを機密操作にする
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property
[domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true)
{
"outcome" => "success",
"result" => undefined,
"server-groups" => {"main-server-group" => {"host" => {"master" => {
"server-one" => {"response" => {"outcome" => "success"}},
"server-two" => {"response" => {"outcome" => "success"}}
}}}}
}
[domain@localhost:9999 classification=system-property] :read-resource
{
"outcome" => "success",
"result" => {
"configured-requires-addressable" => undefined,
"configured-requires-read" => true,
"configured-requires-write" => undefined,
"default-requires-addressable" => false,
"default-requires-read" => false,
"default-requires-write" => true,
"applies-to" => {
"/host=master/system-property=*" => undefined,
"/host=master/core-service=platform-mbean/type=runtime" => undefined,
"/server-group=*/system-property=*" => undefined,
"/host=master/server-config=*/system-property=*" => undefined,
"/host=master" => undefined,
"/system-property=*" => undefined,
"/" => undefined
}
}
}
[domain@localhost:9999 classification=system-property]
どのロールがどの操作を実行できるかは、表11.6「機密性制約の設定結果」 に説明されている属性の設定によって異なります。
表11.6 機密性制約の設定結果
| Value | requires-read | requires-write | requires-addressable |
|---|---|---|---|
true
|
読み取りは機密です。
Auditor、Administrator、および SuperUser のみ読み取りできます。
|
書き込みは機密です。
Administrator および SuperUser のみ書き込みできます。
|
アドレス指定は機密です。
Auditor、Administrator、および SuperUser のみアドレス可能です。
|
false
|
読み取りは機密ではありません。
すべての管理ユーザーが読み取りできます。
|
書き込みは機密ではありません。
Maintainer、Administrator、および SuperUser のみ書き込みできます。Deployers はアプリケーションリソースのアプリケーションを書き込みできます。
|
アドレス指定は機密ではありません。
すべての管理ユーザーがアドレス指定できます。
|