管理ガイド › カスタム ロールおよびカスタム ポリシー › カスタム ユーザ ロールおよびアクセス ポリシーの設定

カスタム ユーザ ロールおよびアクセス ポリシーの設定

ユーザ ロールには、事前定義済みのアプリケーション ユーザ グループか、ユーザ定義のアプリケーション グループを指定できます。 事前定義済みアプリケーション グループ（Administrator、Analyst、および Auditor）では詳細な担当職務を十分カバーできない場合は、カスタム ユーザ ロールを作成する必要があります。 カスタム ユーザ ロールを作成するには、カスタム アクセス ポリシーを設定し、事前定義済みポリシーを変更して、この新しいロールを追加する必要があります。

管理者は、以下の要領でユーザ ロールおよび対応するポリシーを作成できます。

1. CA Enterprise Log Manager のユーザが担当する各ロールに対して
   • アクセスを許可する必要があるリソースを特定します。
   • 各リソース上で許可するアクションを特定します。
   • このロールが適用される ID、すなわち個人を特定します。

     注： ID は、スーパー グループを構成するよう設計されたほかのアプリケーション グループである場合もあります。

2. 事前定義済みアプリケーション グループの権限範囲が広すぎる場合には、アプリケーション グループを新規作成して、特定した個人にこのアプリケーション グループを割り当てます。 割り当てられたユーザが実行するロールを説明するような言葉を用いて、ユーザ定義アプリケーション グループの名前を付けることをお勧めします。
3. 新規アプリケーション グループを、アクセス制御リスト方式の CALM アプリケーション アクセス ポリシーに追加します。
4. 新規ロールが 1 つ以上のリソースに対して、作成などのアクションを実行できる必要がある場合は、以下の手順を実行します。
   1. 指定された CA Enterprise Log Manager リソースに対し、新規アプリケーション グループが作成などの有効なアクションを実行することを許可する CALM ポリシーを設定します。
   2. AppObject リソースへの読み取り/書き込みアクセスを新規アプリケーション グループに許可するスコープ ポリシーを設定し、指定されたリソースが EEM フォルダに保存されていることを説明するフィルタを入力します。 各フィルタには、名前付き属性 pozFolder、CONTAINS、および値を入力します。この値は、/CALM_Configuration で始まる EEM フォルダ パスです。
5. 新規ロールが特定の CA Enterprise Log Manager リソースのみを表示する必要がある場合は、AppObject への読み取りアクセスを許可するスコープ ポリシーを設定し、「名前付き属性 pozFolder CONTAINS 値」というフィルタを入力します。この値は、リソースが保存されている、/CALM_Configuration で始まる EEM フォルダ パスです。
6. ポリシーをテストします。
7. ユーザ アカウントに新規ロールを割り当てます。

管理者は、アクセス フィルタを使用して、ユーザ アクセスの制限を作成することもできます。 特定の種類のアクセス制限を 1 人の個人のみに適用する場合は、そのユーザへのアプリケーション グループ、すなわちロールの割り当てを省略できます。 1 人のユーザのアクセスを制限するには、以下の手順に従います。

1. ユーザを作成します。ロールは割り当てません。
2. ユーザを CALM アクセス ポリシーに追加して、ユーザに CA Enterprise Log Manager アプリケーションへのアクセス権を与えます。
3. SafeObject への読み取りまたは書き込みアクセスを許可するスコープ ポリシーを作成し、名前付き属性 pozFolder がリソースの EEM フォルダの値と等しいというフィルタを入力します。 たとえば、リソースがレポートである場合、名前付き属性 calmTag がレポート タグの値と等しくなるように設定します。
4. カスタム アクセス フィルタを作成します。

管理者は、CA Enterprise Log Manager リソースへのユーザ アクセスをカスタマイズできます。 以下の例について考えます。

• 異なる管理者グループに、特定の管理責任を割り当てるロールを作成します。 たとえば、UserAccountAdministrator のようなロールを作成します。 このロールを持つユーザに、ユーザとグループの管理に必要な機能へのアクセスのみを許可するポリシーを作成します。 そのようなポリシーには、User および UserGroup リソースに加えて、GlobalUser リソースへの読み取りおよび書き込みアクセス権を定義する必要があります。
• タグに基づいて、分析担当者の責任をさまざまなタイプのレポートおよびクエリに分配するロールを作成します。 たとえば、SystemAccessAnalyst および PCIAnalyst のようなロールを作成し、この制限された分析担当者ロールの 1 つだけに分析担当者を割り当てます。 次に、タグに基づいて、これらのリソースのサブセットにアクセスを許可するポリシーを作成します。 たとえば、SystemAccessAnalyst ロールにシステム アクセス タグの付いたレポートとクエリへのアクセスを許可するポリシーを作成し、PCIAnalyst ロールに PCI タグの付いたレポートとクエリへのアクセスを許可する別のポリシーを作成します。 ほかのタグについても、それに基づくロールおよびポリシーを別途作成します。 このようにして、アクセスを制限するポリシーを、アクセス フィルタを使用して作成します。

管理者は、以下のアプローチのいずれかを使用して、サーバ ベースのポリシーを作成できます。

• データの制限

  データ アクセス フィルタを作成し、receiver_name フィールド用のフィルタを設定し、systemstatus や syslog のような値を指定して、特定のログへのアクセスを制限できます。

• 設定の制限

  選択済みリソースとして AppObject を設定した SafeObject リソース クラスに関するポリシーを作成して、特定の CA Enterprise Log Manager へのアクセスを制限できます。 すなわち、特定のホスト上にあるレポート サーバ設定のみにアクセスできるよう制限するには、以下のようなフィルタを定義します。

  pozFolder contains /CALM_Configuration/Modules/calmReporter/LogServer01
  

詳細情報：

カスタム統合のポリシーの例

抑制ルールおよび集約ルール用のポリシーの例

アクセス フィルタの作成

ユーザ： Win-Admin のデータ アクセスを制限するシナリオ

ロールのアクセス制限： PCI-Analyst シナリオ