管理ガイド › カスタム ロールおよびカスタム ポリシー › ポリシー作成時のガイドライン

ポリシー作成時のガイドライン

すべての CALM アクセス ポリシーおよびスコープ ポリシーは、特定の ID に対して許可または拒否する特定のリソースに対するアクションを指定します。 CALM リソース クラス用のポリシーは、指定した ID に対して、アプリケーション リソース（CALM リソースとも呼ばれます）に対するアクションの実行を許可または拒否します。 SafeObject クラスの AppObject リソース用のポリシーは、指定した ID に対して、アプリケーションレベルのリソースに対する書き込みおよび読み取りのアクションをフィルタの指示に従って許可または拒否します。 SafeObject リソース クラス用のその他のポリシーは、指定した ID に、グローバル リソースへの書き込みおよび読み取りアクションを許可または拒否します。

作成するポリシーのタイプは、アクセスを制限するリソースによって異なります。 リソースごとのポリシー要件の概要は以下のとおりです。

• AppObject 用の CALM ポリシーおよびスコープ ポリシーが必要なリソース
  • EventForwarding
  • EventGrouping
  • Integration（エージェント以外）
  • Profile
  • Report
• CALM ポリシーのみが必要なリソース
  • AgentAuthenticationKey
  • AgentConfiguration
  • Alert
  • ALL_GROUPS
  • Connector
  • Database
  • Integration（エージェント関連）
  • Tag
• グローバル リソース用のスコープ ポリシーのみが必要なリソース
  • Calendar
  • Folder
  • GlobalUser
  • GlobalUserGroup
  • iPoz
  • Policy
  • User
  • UserGroup

以下のガイドラインでは、ポリシーの作成方法の違いを説明します。これらの違いは、制御するリソースに基づいています。

EventForwarding、EventGrouping、Integration、Profile、および Report へのアクセスを制御する方法

以下のアプローチは、CALM リソース、EventGrouping、Integration、Profile、および Report に関するポリシーにのみ適用します。 これらのアプリケーション リソースには、CALM ポリシーと 2 つのスコープ ポリシーが必要です。

1. Report や Integration などの 1 つ以上のアプリケーション リソース用の CALM ポリシーを作成します。 指定したリソースに対して有効な 1 つ以上のアプリケーション固有のアクション（作成、スケジュール、注釈など）を指定します。 指定したアクションを許可または拒否する ID を追加します。
2. 読み取りアクションと書き込みアクションの両方を使って AppObject リソースに対する関連スコープ ポリシーを作成します。 ID がリソースを編集または削除できる（ただし、作成はできない）ようにするには、書き込みアクションを指定します。 ID がリソースを表示できるようにするには、読み取りアクションを指定します。 AppObject リソースと関連するアプリケーション リソースを再度関連付けるフィルタを作成します。 このフィルタに、指定したリソースのコンテンツを格納する EEM フォルダ パスか、または関連するアプリケーション リソースのためにアクセスできる必要があるモジュールを示す EEM フォルダ パスを指定します。 関連する CALM ポリシーに追加した同じ ID をこのポリシーにも追加します。
3. 読み取りアクションを使って AppObject リソースに関する 2 つ目の関連スコープ ポリシーを作成します。 ID がリソースを表示できるようにするには、読み取りアクションを指定します。 AppObject リソースと関連するアプリケーション リソースを再度関連付けるフィルタを作成します。 このフィルタに、指定したリソースのコンテンツを格納する EEM フォルダ パスか、または関連するアプリケーション リソースのためにアクセスできる必要があるモジュールを示す EEM フォルダ パスを指定します。 このポリシーに、より低い権限を持つユーザまたはユーザ グループを ID として追加します。

Alert、Database、Tag、およびエージェント関連リソースへのアクセスを制御する方法

以下の方法は、アクセスを許可または制限する CALM ポリシーのみを必要とするアプリケーション リソースに適用されます。

• Connector または Tag などのリソース用の CALM アクセス ポリシーを作成します。 対象の ID でリソースの作成、編集、削除、およびその他の有効なアクションを実行できるように、編集アクションを指定します。 このアクションを許可または拒否する ID を追加します。

  注： エージェント関連リソースへのアクセスを許可すると、［管理］タブの［ログ収集］サブタブに表示されるエージェント エクスプローラ フォルダまたはそのサブフォルダのボタンを使用できるようになります。 Alert リソースへのアクセスを許可すると、その ID は［アラート］タブにアクセスできるようになります。 Tag リソースへのアクセスを許可すると、その ID はカスタム クエリまたはレポートのタグを作成できるようになります。 Database へのアクセスを許可すると、その ID はアーカイブ クエリを実行できるようになります。

CAELM アプリケーションで使用されるグローバル リソースへのアクセスを制御する方法

以下の方法は、アクセスを制限するスコープ ポリシーのみを必要とするグローバル リソースに適用されます。

1. User や Policy などの 1 つ以上のグローバル リソース用のスコープ ポリシーを作成します。 対象の ID でリソースを作成、編集、または削除できるようにするには、書き込みアクションを指定します。 このアクションを許可または拒否する ID を追加します。
2. User や Policy などの 1 つ以上のグローバル リソース用のスコープ ポリシーを作成します。 対象の ID でグローバル リソースを表示できるようにするには、読み取りアクションを指定します。 このアクションを許可または拒否する ID を追加します。

   注： グローバル リソースは、［管理］タブの［ユーザとアクセスの管理］サブタブ上のボタンを使ってアクセスできるリソースです。

詳細情報：

CALM アクセス ポリシーのタイプ

リソースとアクション

CALM リソースと EEM フォルダ

グローバル リソースと CA EEM の機能

CALM アクセス ポリシーの作成