Show Table of Contents
第3章 ユーザーとアクセス制御の管理
アクセス制御は、組織の前の段階で、ロールで実装されます。ロールでは、どのユーザーが組織のどの要素にアクセスできるかを定義します。
3.1. ユーザー、ロール、およびアクセス制御
セキュリティーでは、ユーザー、リソース、およびユーザーが実行可能なタスクについての関係を明確に確立します。ユーザーとリソースの相互関係は、当該ユーザーおよびリソースを (グループによって) 定義されたロールに含めるまたは除外することで順序付けを行い、ロールにタスクを実行する能力を付与することで、順序付けられます。
ユーザーがある操作を実行可能にすることを パーミッション と呼びます。
ユーザーは、特定組織内の要素に対する (読み取り、編集、作成、削除などの) パーミッションを付与されます。これらのパーミッションは明示的に付与される必要があります。デフォルトでは、ユーザーにはすべてのアクションが暗示的に拒否されています。
パーミッションは、ユーザーに対して ロール によって付与されます。ロールは以下の 3 要素を定義します。
- 組織またはロールを適用する組織
- そのロールに所属するユーザー
- ユーザーが組織内で持つことになるパーミッション
図3.1 ロールにおけるユーザー、組織、およびパーミッション
単一のロールは複数の組織に関連付けることができますが、パーミッションは各組織に個別に設定されます。このため、ある組織のパーミッションをすべて設定して、それから別の組織を選択してから、その組織のパーミッションすべてを設定します。
Subscription Asset Manager 内のパーミッションは、非常に具体的なものです。パーミッション自体は、アクションとそのアクションが許可されるターゲットの両方を定義します。たとえば、register systems というパーミッションは、アクション (register: 登録) とターゲット (systems within the organization: 組織内のシステム) の両方を定義します。別のオブジェクトの登録や、システム上での他のタスクの実行は、別のパーミッションになります。
表3.1「Subscription Asset Manager コンポーネントと使用可能なパーミッション」 には利用可能なパーミッションが一覧表示されています。多くのパーミッションがあることで、非常に柔軟性のあるロール作成が可能になり、業務のニーズが満たされ、十分なアクセス制御が提供されます。パーミッションが明確であることで、アクションとターゲットもはっきりするため、アクセス制御の定義が容易になります。
表3.1 Subscription Asset Manager コンポーネントと使用可能なパーミッション
| コンポーネント | 使用可能なパーミッション |
|---|---|
| 組織: 組織エントリー |
|
| 組織: ディストリビューターエントリー |
|
| 組織: システムエントリー |
|
| アクティベーションキー |
|
| システムグループ |
|
| プロバイダー |
|
Where did the comment section go?
Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.