17.2. 利用可能なリソース
セキュアなプラットフォームを確保するために、Automation Controller などにいくつかのリソースが存在します。次の機能の使用を検討してください。
17.2.1. 監査およびログの機能
管理アクセスの場合、アクションの監査および監視を行うことが重要です。システム全体では、組み込みの監査サポートと組み込みのロギングサポートを使用してこれを実行できます。
Automation Controller の場合、Automation Controller 内のすべての変更を記録する組み込みのアクティビティーストリームサポートおよび自動化ログを使用して、これを実行できます。
ベストプラクティスでは、ロギングと監査をローカルシステムで確認するのではなく、一元的に収集することが求められます。ご利用の環境で標準 ID またはロギングと監査 (Splunk) を使用するように、Automation Controller を設定する必要があります。Automation Controller には、Elastic Stack、Splunk、Sumologic、Loggly などの組み込みのロギング統合が含まれます。
関連情報
詳細は、ロギングおよびアグリゲーション を参照してください。
17.2.2. 既存のセキュリティー機能
SELinux または Automation Controller の既存のマルチテナントコンテインメントを無効にしないでください。Automation Controller のロールベースのアクセス制御 (RBAC) を使用して、自動化の実行に必要な最小限の権限を委譲します。Automation Controller のチームを使用して、個々のユーザーではなくユーザーのグループにパーミッションを割り当てます。
関連情報
詳細は、Automation Controller ユーザーガイド の ロールベースのアクセス制御 を参照してください。
17.2.3. 外部アカウントストア
Automation Controller ですべてのユーザーを維持することは、大規模な組織では時間のかかるタスクとなる場合があります。Automation Controller は、LDAP、SAML 2.0、および特定の OAuth プロバイダーによる外部アカウントソースへの接続をサポートします。これにより、パーミッションを操作する際のエラーの原因が排除されます。
17.2.4. Django パスワードポリシー
Automation Controller 管理者は、Django を使用して、作成時に AUTH_PASSWORD_VALIDATORS
でパスワードポリシーを設定し、Automation Controller のユーザーパスワードを検証できます。Automation Controller インスタンスの /etc/tower/conf.d
にある custom.py
ファイルに、次のコードブロックの例を追加します。
AUTH_PASSWORD_VALIDATORS = [ { 'NAME': 'django.contrib.auth.password_validation.UserAttributeSimilarityValidator', }, { 'NAME': 'django.contrib.auth.password_validation.MinimumLengthValidator', 'OPTIONS': { 'min_length': 9, } }, { 'NAME': 'django.contrib.auth.password_validation.CommonPasswordValidator', }, { 'NAME': 'django.contrib.auth.password_validation.NumericPasswordValidator', }, ]
関連情報
- 詳細は、前述の例に加えて、Django の Password validation を参照してください。
- 変更を有効にするには、必ず Automation Controller インスタンスを再起動してください。詳細は、Automation Controller の起動、停止、および再起動 を参照してください。