管理ガイドカスタム ロールおよびカスタム ポリシーユーザ: Win-Admin のデータ アクセスを制限するシナリオ › 手順 3: Win-Admin システム アクセス ポリシーの作成

前のトピック: 手順 2: CALM アプリケーション アクセス ポリシーへの Win-Admin の追加

次のトピック: 手順 4: Win-Admin データ アクセス フィルタの作成

手順 3: Win-Admin システム アクセス ポリシーの作成

手順 2 では、CA Enterprise Log Manager アプリケーションにログオンするためのアクセス権を付与しました。

手順 3 では、ログオン後の CA Enterprise Log Manager アプリケーションへのアクセス権の制限、すなわちスコープを設定します。 最も広いレベルでは、指定した ID に、読み取り専用のアクセス権、または読み取りおよび書き込み両方のアクセス権を付与できます。

ポリシー タイプを選択すると、許可されるアクションを指定する際の詳細レベルが決定します。

対象リソースの EEM フォルダを指定するフィルタを作成し、そのフォルダへの制限を指定することで、リソースへの制限付きアクセスを許可できます。

以下の例では、一般的な読み取りアクセスに特定の機能への制限を追加して、アクセス権を制限する方法を説明します。 具体的には、手順 3 で、Win-Admin ユーザがシステム アクセス レポートのみを表示できるよう制限します。 以下の例では、Win-Admin システム アクセスというスコープ ポリシーを作成し、SafeObject と AppObject への読み取りアクセス権を付与し、システム アクセス タグが付いたレポートのみにアクセスできるようフィルタを作成する方法を説明します。 また、ポリシーのテスト方法と、検証後に導入前設定を削除する方法についても説明します。

アプリケーション アクセスを読み取り専用、または読み取りおよび書き込みに指定するよう設計されたスコープ ポリシーで、[一般]領域のリソース クラス名を「SafeObject」に指定します。 以下の例では、Win-Admin システム アクセスというポリシー名が表示されています。 テストが完了し、実稼働環境で使用可能であることが確認できるまで、新規ポリシーでは[導入前]チェック ボックスをオンにすることをお勧めします。

ユーザのスコープ ポリシーを作成する場合、ポリシー名にそのユーザ名を付加します。

ユーザまたはグループのどちらかにアクセス権を付与できます。 この例では、アクセス権は新規ユーザの Win-Admin に付与されます。

[ユーザ]を選択する場合、選択対象としてユーザ名だけが表示されます。

CA Enterprise Log Manager 用に作成された「最高レベルの」ポリシーは CALM アクセス ポリシーで、ここでは CAELM はアプリケーション インスタンスです。 このスコープ ポリシーは、アプリケーション オブジェクトである AppObject に対する読み取りアクションを許可するためのものです。AppObject は、すべてのアプリケーション機能を指します。

このシナリオのユーザのシステム アクセス ポリシーを使用すると、制限がフィルタで定義されているすべてのリソースを表示することができます。

フィルタを指定すれば、すべてのオブジェクトに対して許可したアクションに、さらに制限を加えることができます。 通常、フィルタは 2 つ 1 組で指定します。1 つは、特定の機能に関連するデータが保存された CA EEM フォルダを指定するフィルタで、2 つ目は、その場所にあるオブジェクトへの制限を指定するフィルタです。 以下の例における 1 つ目のフィルタは、レポート リソースが保存されたフォルダへの CA EEM フォルダ アクセスを制限しています。 具体的には、「pozFolder contains /CALM_Configuration/Content/Reports」と指定されています。 2 つ目のフィルタは、calmTag がシステム アクセスと等しいと指定することで、システム アクセス タグの付いたレポートだけにアクセスできるよう制限しています。

フィルタによって、レポート アクセスが「システム アクセス」というタグが付いたものに制限されます。

ポリシーを保存したら、確認のために検索できます。 ポリシーの検索には、名前、ID またはリソースを使用できます。 値の一部だけを入力して検索することも可能です。 また、複数の条件も入力できます。 このシナリオの例は、以下のとおりです。

フル ネームで検索すると、目的のポリシー 1 つを表示できます。

名前で検索すると、検索されたポリシーのみが返されます。

ID のみで検索すると、この ID に適用されるポリシーが、ほかの ID にも適用されるものも含めてすべて表示されます。

ID で検索すると、そのユーザが ID としてリストに加えられているポリシーがすべて返されます。

リソースが AppObject であるポリシーのみを検索すると、ID に読み取り専用または読み取り/書き込みアクセスを許可する、システム提供のポリシーおよびカスタム ポリシーがすべて表示されます。

リソースに基づいて検索すると、選択したリソースが[リソース]列に表示されるポリシーがすべて返されます。

検索するカスタム ポリシーがポリシー テーブル上に表示されている場合は、フィルタなどの値を確認してください。 修正を必要とするものが見つかった場合は、名前リンクをクリックすれば、ポリシーが再表示されて、編集できるようになります。

入力を確認することをお勧めします。

作成する新規ポリシー用のフィルタを検証します。

新規ポリシーごとにテストを行うことをお勧めします。 必ず、レベルの高い属性から、フィルタに入力した順序で、属性と値のペアを入力してください。

権限チェックに失敗した場合は、ポリシーに表示されるのと同じ順序でフィルタを入力したかどうかを確認してください。

結果が ALLOW であることを確認します。

結果が ALLOW であれば、権限のチェックが成功したことを示します。

結果が ALLOW であることを確認した後で、ポリシーの[導入前]設定をオフにします。 オフにしないと、Win-Admin としてログインし、このユーザに付与した権限を評価できません。

新規ユーザとしてログオンする前に[導入前]設定をオフにします。

詳細情報:

新しいポリシーのテスト