3.6. Data Grid 認証
Data Grid は、ロールベースのアクセス制御 (RBAC) を使用してデータへのアクセスを制限し、クラスターの暗号化を使用してノード間の通信を保護します。
ロールと権限
Data Grid 8.2 は、RBAC に使用できる一連のデフォルトのユーザーと権限を提供しますが、次の変更が加えられています。
-
ClusterRoleMapperは、Data Grid がセキュリティープリンシパルを承認ロールに関連付けるために使用するデフォルトのメカニズムです。 -
新しい
MONITOR権限により、ユーザーは Data Grid 統計にアクセスできます。 ユーザーがキャッシュやカウンターなどのリソースを作成および削除するために必要な新しい
CREATE権限。注記CREATEは、Data Grid 8.1 以前で Protobuf スキーマとサーバースクリプトを作成および削除するためにユーザーが必要とする___schema_managerおよび\___script_managerロールを置き換えます。Data Grid 8.2 に移行するときは、Data Grid 8.1 以前で
___schema_managerおよび\___script_managerのロールを持っていたユーザーに、deployerロールを割り当てる必要があります。次のようにコマンドラインインターフェイス (CLI) を使用します。[//containers/default]> user roles grant --roles=deployer <user>
Cache Manager のパーミッション
表3.2 Data Grid 8.1
| パーミッション | 機能 | 説明 |
|---|---|---|
| 設定 |
| 新しいキャッシュ設定を定義します。 |
| LISTEN |
| キャッシュマネージャーに対してリスナーを登録します。 |
| ライフサイクル |
| キャッシュマネージャーを停止します。 |
| ALL | - | すべてのキャッシュマネージャーのアクセス許可が含まれます。 |
表3.3 Data Grid 8.2
| パーミッション | 機能 | 説明 |
|---|---|---|
| 設定 |
| 新しいキャッシュ設定を定義します。 |
| LISTEN |
| キャッシュマネージャーに対してリスナーを登録します。 |
| ライフサイクル |
| キャッシュマネージャーを停止します。 |
| CREATE |
| キャッシュ、カウンター、スキーマ、スクリプトなどのコンテナーリソースを作成および削除することができます。 |
| MONITOR |
|
JMX 統計および |
| ALL | - | すべてのキャッシュマネージャーのアクセス許可が含まれます。 |
キャッシュ権限
表3.4 Data Grid 8.1
| パーミッション | 機能 | 説明 |
|---|---|---|
|
|
| キャッシュからエントリーを取得します。 |
| WRITE |
| キャッシュ内のデータの書き込み、置換、削除、エビクト。 |
| EXEC |
| キャッシュに対するコードの実行を許可します。 |
| LISTEN |
| キャッシュに対してリスナーを登録します。 |
| BULK_READ |
| 一括取得操作を実行します。 |
| BULK_WRITE |
| 一括書き込み操作を実行します。 |
| ライフサイクル |
| キャッシュを開始および停止します。 |
| ADMIN |
| 基盤となるコンポーネントと内部構造へのアクセスを許可します。 |
| ALL | - | すべてのキャッシュパーミッションが含まれます。 |
| ALL_READ | - | READ パーミッションと BULK_READ パーミッションを組み合わせます。 |
| ALL_WRITE | - | WRITE パーミッションと BULK_WRITE パーミッションを組み合わせます。 |
表3.5 Data Grid 8.2
| パーミッション | 機能 | 説明 |
|---|---|---|
| READ |
| キャッシュからエントリーを取得します。 |
| WRITE |
| キャッシュ内のデータの書き込み、置換、削除、エビクト。 |
| EXEC |
| キャッシュに対するコードの実行を許可します。 |
| LISTEN |
| キャッシュに対してリスナーを登録します。 |
| BULK_READ |
| 一括取得操作を実行します。 |
| BULK_WRITE |
| 一括書き込み操作を実行します。 |
| ライフサイクル |
| キャッシュを開始および停止します。 |
| ADMIN |
| 基盤となるコンポーネントと内部構造へのアクセスを許可します。 |
| MONITOR |
|
JMX 統計および |
| ALL | - | すべてのキャッシュパーミッションが含まれます。 |
| ALL_READ | - | READ パーミッションと BULK_READ パーミッションを組み合わせます。 |
| ALL_WRITE | - | WRITE パーミッションと BULK_WRITE パーミッションを組み合わせます。 |
キャッシュマネージャーの承認
Data Grid 8.2 以降では、次のように、authentication 要素を cache-container セキュリティー設定に含めることができます。
<infinispan>
<cache-container name="secured">
<security>
<authorization/> 1
</security>
</cache-container>
</infinispan>- 1
- デフォルトのロールと権限でキャッシュマネージャーのセキュリティー認証を有効にします。
次のようにグローバル認証設定を定義することもできます。
<infinispan>
<cache-container default-cache="secured" name="secured">
<security>
<authorization> 1
<identity-role-mapper /> 2
<role name="admin" permissions="ALL" /> 3
<role name="reader" permissions="READ" />
<role name="writer" permissions="WRITE" />
<role name="supervisor" permissions="READ WRITE EXEC"/>
</authorization>
</security>
</cache-container>
</infinispan>暗黙的なキャッシュ認証
Data Grid 8 は、キャッシュが cache-container から承認設定を継承できるようにすることで使いやすさを向上させるため、各キャッシュのロールとパーミッションを明示的に設定する必要はありません。
<local-cache name="secured">
<security>
<authorization/> 1
</security>
</local-cache>- 1
- キャッシュコンテナーで定義されたロールと権限を使用します。
Data Grid 8.2 以降、設定に
authorization要素を含めると、カスタムグローバル権限のセットを定義しない限り、デフォルトのロールと権限を使用して、そのキャッシュへのアクセスが制限されます。
関連情報