SaltStack Config のロール ベースのアクセス コントロール (RBAC) システムでは、ロールの権限設定がそのロールに含まれているすべてのユーザーに適用されるため、複数のユーザーの権限設定を一度に定義できます。これらの設定は、ユーザー インターフェイスのロール ワークスペースで定義できます。

ロールの権限は加算式です。複数のロールに割り当てられているユーザーは、各ロールから付与されたすべてのアイテムの組み合わせにアクセスできます。これにより、同じようなバックグラウンドを持つユーザーが同じ権限設定を受け取り、さまざまな責任を持つユーザーが必要なすべてのアイテムにアクセスできます。

SaltStack Config は初期状態で組み込みのロールを備えており、これらは削除できません。また、組織固有のニーズに合ったカスタム定義のロールを作成することもできます。デフォルトのロールと設定を参照してください。

タスクを完了するためのロール権限を付与するには、許可されたタスクを定義したうえで、リソースまたは機能領域へのアクセスも割り当てる必要があります。権限は許可されたアクションの広範なカテゴリです。一方、リソース アクセスでは、アクションを実行できる特定のリソース(ジョブやターゲットなど)を定義できます。許可されたタスクとリソース アクセスの違いを参照してください。

特定のリソース タイプおよび機能領域のリソース アクセスは、ロール エディタではなく、API (RaaS) で定義する必要があります。リソース アクセスを参照してください。

ロールの作成

場合によっては、新しいロールを作成するよりも、ロールのクローンを作成する方が便利なことがあります。既存のロールのクローンを作成した後で、必要に応じてクローンを変更できます。

  1. サイド メニューで [管理者] > [ロール] の順にクリックします。
  2. [作成] をクリックします。
  3. ロールの新しい名前を入力します。
  4. [タスク] で、ロールを付与する許可されたアクションを選択します。選択可能なタスクの説明については、タスクを参照してください。
  5. [保存] をクリックします。

    ロールを作成するために必要な最小限の手順が完了しました。ロールの設定の定義の詳細については、ロールの編集を参照してください。

ロールのクローン作成

  1. ロール ワークスペースで、クローンを作成するロールを選択します。
    注: 組み込みのスーパー ユーザー ロールは、予約名のため、セキュリティ上の理由からクローンを作成できません。
  2. [クローン作成] をクリックします。
  3. ロールの新しい名前を入力し、[保存] をクリックします。

    ロールのクローンを作成するために必要な最小限の手順が完了しました。ロールの設定の定義の詳細については、ロールの編集を参照してください。

    注: クローン作成されたロールは、デフォルトで元のロールから許可されたタスクを継承します。クローン作成されたロールはリソース アクセスを継承しません。リソース アクセスは別途定義する必要があります。 ジョブまたはターゲットへのアクセスの割り当てを参照してください。

ロールの編集

  1. ロール ワークスペースで、編集するロールを選択します。
  2. 任意のタブ ([タスク]、[リソース アクセス]、[グループ]、または [ユーザー]) を選択し、必要に応じてロール設定を編集します。

    各タブの編集の詳細については、以下を参照してください。

  3. 変更を行ったら、新しいタブを選択する前に、[保存] をクリックします。
注: 上記で説明しているのは、標準エディタを使用してロールを編集する方法です。 SaltStack Config には、上級ユーザーにのみ推奨される詳細エディタも用意されています。詳細エディタの詳細については、 詳細な権限を参照してください。

許可されたタスクの設定

  1. ロール ワークスペースで、編集するロールを選択します。
  2. [タスク] で、ロールを割り当てる許可されたタスクを選択します。SaltStack Config では、タスクは一般的な使用事例を表します。タスクを有効にすると、そのタスクを完了するために必要なすべての権限がロールに付与されます。

    タスクの説明については、タスクを参照してください。

  3. [保存] をクリックします。
注: 権限を割り当てるだけでなく、ロールがアクションを実行する特定のリソース(ジョブやターゲットなど)へのアクセスを有効にする必要もあります。 許可されたタスクとリソース アクセスの違いを参照してください。

ジョブまたはターゲットへのアクセスの割り当て

  1. ロール ワークスペースで、編集するロールを選択します。
  2. [リソース アクセス] で、必要なジョブまたはターゲットを特定し、割り当てるアクセス レベルを選択します。たとえば、ロールがジョブを実行できるようにするには、ジョブの [読み取り/実行] を選択します。

    選択したいリソースが表示されない場合は、[すべてのターゲットを表示] または [すべてのジョブを表示] をクリックします。


    ロールのジョブの表示

    SaltStack Config では、ジョブとターゲットはどちらも異なるタイプのリソースと見なされます。リソース アクセスの詳細については、リソース アクセスを参照してください。

  3. [保存] をクリックします。
注: ジョブのリソース アクセスを割り当てるだけでなく、ジョブを実行するターゲットへのアクセスを割り当て、ジョブを実行する権限を割り当てる必要もあります。 許可されたタスクとリソース アクセスの違いを参照してください。

グループの追加または削除

  1. ロール ワークスペースで、編集するロールを選択します。
  2. [グループ] で、ロールに含めるグループを選択します。

    グループは、ディレクトリ サービス接続を介してインポートされます。目的のグループが表示されない場合は、接続を追加し、グループを同期していることを確認してください。

    ディレクトリ サービス接続から削除したグループはアーカイブされます。グループは、非アクティブでユーザーがログインできない場合でも、ロール ワークスペースには表示されます。

    注: ロールの権限は加算式です。複数のロールに割り当てられているグループ内のユーザーは、各ロールから付与されたすべてのアイテムの組み合わせにアクセスできます。
  3. [保存] をクリックします。

    選択したグループ(これらのグループ内のすべてのユーザーを含む)には、ロール設定で定義されている許可されたタスクとリソース アクセスがすべて付与されます。

ユーザーの追加または削除

ユーザーは、所属するグループから権限設定(ロールへの割り当てなど)を継承します。ベスト プラクティスとして、個々のユーザーをロールに追加するのではなく、ロールに属するグループにユーザーを追加することを推奨します。デフォルトでは、新しいユーザーはすべてユーザー ロールに含まれます。デフォルトのロールと設定を参照してください。

  1. ロール ワークスペースで、編集するロールを選択します。
  2. [ユーザー] で、ロールに含めるユーザーを選択します。

    ディレクトリ サービス グループに含まれている個々のユーザーの設定をロール ワークスペースで管理するには、そのユーザーが初回のログインを済ませている必要があります。詳細については、LDAP による認証を参照してください。

  3. [保存] をクリックします。

詳細情報

次の記事には、SaltStack Config の RBAC 関連の概念に関する詳細な情報が記載されています。