Snap Creator Framework
日本語は機械翻訳による参考訳です。内容に矛盾や不一致があった場合には、英語の内容が優先されます。

ユーザアクセスの管理

共同作成者
PDF

Snap Creator のセキュリティ機能には、 Role-Based Access Control ( RBAC ;ロールベースアクセス制御)などがあります。この機能を使用すると、 Snap Creator 内でユーザアクセスを管理できます。

RBAC にはユーザ、ロール、権限、処理、およびプロファイルが含まれます。ユーザ、ロール、および権限は、 Snap Creator ユーザが定義できます。

ユーザ

  • ユーザは、ユーザ名とパスワードによって一意に識別されます。

  • ユーザには、 1 つ以上のロールとプロファイルを割り当てたり、割り当てを解除したりできます。

  • Snap Creator サーバを起動すると、 snapcreator.properties ファイルの SNAPCREATOR_USER がユーザとして追加されます。

  • スタートアップ時にユーザが作成される際、 snapcreator.properties ファイルの SNAPCREATOR_USER にはデフォルトの管理者ロールが割り当てられます。

ロール

ロールには 1 つ以上の権限が割り当てられます。割り当てられた権限によって、ユーザが実行できるアクション、およびユーザがアクセスできる GUI 要素が決まります。次の 3 つの組み込みのロールがあります。

  • * 管理者 *

    すべての API にフルアクセスできます。ユーザを作成、編集、および削除できる唯一のロールです。

  • * 演算子 *

    このロールはスーパーユーザとして設定され、 RBAC を除くすべての API にアクセスできます。

  • * ビューア *

    アクセスが非常に制限されている。このロールでは、読み取り専用の Snap Creator API 呼び出しへのアクセスが可能です。

これらの組み込みロールは追加、削除、変更することができません。

権限

権限とは、ユーザが実行を許可される一連の操作のことです。次の権限が組み込まれています。

  • * バックアップ *

    バックアップ処理またはクローニング処理を実行する場合に必要です。

  • * コンフィグレーション *

    構成ファイルの作成、読み取り、更新、および削除に必要です。

  • * カスタム *

    カスタムプラグイン処理を開始する場合に必要です。

  • * extended_repository*

    カタログ(拡張リポジトリとも呼ばれます)処理を実行するために必要です。

  • * グローバル *

    グローバル構成ファイルの作成、編集、削除に必要です。

  • * policy_Admin*

    ポリシー操作を呼び出すために必要です( addPolicy 、 updatePolicy 、 removePolicy など)。

  • * policy_Viewer *

    読み取り専用ポリシーの処理に必要です。

  • * RBAC_Admin*

    ユーザの管理に必要(ユーザの作成、更新、削除、ロールなど) 役割、権限を割り当ておよび割り当て解除することもできます)。

  • * rba_view *

    ユーザアカウント、割り当てられているロール、および割り当てられている権限を表示する場合に必要です。

  • * 復元 *

    リストア処理の実行に必要です。

  • * スケジューラ *

    スケジューラの操作を実行するために必要です。

  • * ビューア *

    読み取り専用操作の許可を提供します。

処理

処理とは、 Snap Creator が許可の有無をチェックするときの基準となる値です。処理の例としては、 getTask 、 fileCloneCreate 、 createTask 、 dirCreate などがあります。

メモ 処理を追加、削除、または変更することはできません。

プロファイル

  • プロファイルはユーザに割り当てられます。

  • RBAC のプロファイルは、ファイルシステムのプロファイルディレクトリに作成されます。

  • Snap Creator の API には、ユーザがプロファイルに割り当てられているかどうかをチェックしたり、処理に対する権限をチェックしたりするものがあります。

    たとえば、ユーザが特定のジョブステータスを必要としている場合、 RBAC は、このユーザが SchedulergetJob を呼び出す許可を持っているかどうかを検証し、このジョブに関連するプロファイルがユーザに割り当てられているかを確認します。

  • Operator ロールが割り当てられたユーザがプロファイルを作成すると、そのプロファイルが自動的にユーザに割り当てられます。

ストレージコントローラのユーザアクセスの管理

Active IQ Unified Manager プロキシを使用していない場合は、ストレージコントローラとの通信にユーザ名とパスワードが必要です。セキュリティを確保するためにパスワードを暗号化できます。

メモ root ユーザや admin / vsadmin ユーザは使用しないでください。ベストプラクティスとして、必要な API 権限を持つバックアップユーザを作成することを推奨します。

ネットワーク通信は HTTP ( 80 番ポート)または HTTPS ( 443 番ポート)を経由しているため、 Snap Creator が稼働するホストとストレージコントローラ間では、これらのポートのいずれかまたは両方が開いている必要があります。認証用にストレージコントローラ上にユーザを作成する必要があります。HTTPS の場合、ストレージコントローラ上でユーザが有効かつ設定済みであることを確認する必要があります。