管理ガイド › カスタム ロールおよびカスタム ポリシー › ロールのアクセス制限： PCI-Analyst シナリオ › 手順 1： 作成するロールとポリシーの計画

手順 1： 作成するロールとポリシーの計画

Analyst と同様のロールを作成する必要があり、同時に PCI 関連のレポートおよびクエリへのアクセスを制限する必要もあると仮定します。 機能の内容がわかるロール名（PCI-Analyst など）を検討します。

新規ロール、すなわちアプリケーション ユーザ グループの作成を開始する前に、新規ロールをサポートするのに必要なポリシーを検討します。 テンプレートとして使用できそうな既存ポリシーを特定することをお勧めします。 ［ID］リストから、検討中のロールと類似したロールを探します。

このシナリオ例では、ug:Analyst がこれに該当します。 ［ポリシーの検索］で、［ID に一致するポリシーを表示］チェック ボックスをオンにし、ID 「ug:Analyst」を入力して、［実行］をクリックします。 表示されるポリシーには、すべての ID に適用されるポリシーと、ID に ug:Analyst が明示的に指定されているポリシーが含まれます。

このロールが含まれているポリシー名は、以下のとおりです。

• CALM アプリケーション アクセス スコープ ポリシー
• 分析担当者および監査担当者用レポート サーバ アクセス スコープ ポリシー
• 分析担当者用レポート表示/編集スコープ ポリシー
• 分析担当者用作成/スケジュール/注釈 CALM ポリシー

候補となる各ポリシーで、定義を検討し、以下の操作からいずれかを選んで実行します。

• 新規ロールを、ポリシーを適用する ID に追加します。 変更を加えずにこのポリシーを新規ロールに適用する場合は、これが最適な選択です。

  この操作は、この例では以下のポリシーに適しています。

  • CALM アプリケーション アクセス ポリシー。CA Enterprise Log Manager へのアクセス権を与える ID をすべて定義します。
  • 分析担当者および監査担当者用レポート サーバ アクセス ポリシー。使用可能なすべてのレポート サーバに関するレポートとアラートのスケジュールを許可する ID をすべて定義します。 このロールは、レポート サーバに関する制限がないことが必要です。
  • 分析担当者用作成/スケジュール/注釈ポリシー
• 新しい名前でポリシーを保存し、定義を変更します。

  この操作は、この例では以下のポリシーに適しています。以下のポリシーでは、新規コピーに新しい ID のみが含まれ、「PCI」というタグが付けられたレポートへの読み取り/書き込みアクセスを制限するフィルタが追加されています。

  • 分析担当者用レポート表示/編集ポリシー