1.6. Data Grid ユーザーの作成
Hot Rod および REST エンドポイントを介して Data Grid Server のデプロイメントで認証するための認証情報を追加します。Data Grid Console へのアクセスやキャッシュ操作を行う前に、Data Grid のコマンドラインインタフェース (CLI) で最低 1 名のユーザーを作成する必要があります。
Data Grid は、ロールベースアクセス制御 (RBAC) を使用してセキュリティー認証を実施します。認証情報を初めて追加するときに admin
ユーザーを作成して、Data Grid デプロイメントに対する完全な ADMIN
権限を取得します。
前提条件
- Data Grid Server をダウンロードし、インストールします。
手順
-
$RHDG_HOME
でターミナルを開きます。 user create
コマンドでadmin
ユーザーを作成します。bin/cli.sh user create admin -p changeme
ヒントCLI セッションから
help user
を実行し、コマンドの詳細を取得します。
検証
user.properties
を開き、ユーザーが存在することを確認します。
cat server/conf/users.properties admin=scram-sha-1\:BYGcIAwvf6b...
CLI を使用してプロパティーレルムに認証情報を追加すると、接続しているサーバーインスタンスにのみユーザーが作成されます。プロパティーレルムの認証情報をクラスター内の各ノードに手動で同期する必要があります。
1.6.1. ユーザーへのロール付与
ユーザーにロールを割り当て、キャッシュ操作や Data Grid のリソースとのやり取りを行う権限を付与します。
同じロールを複数のユーザーに割り当て、それらの権限を一元管理する場合は、ユーザーではなくグループにロールを付与します。
前提条件
-
Data Grid に
ADMIN
権限がある。 - Data Grid ユーザーを作成すること。
手順
- Data Grid への CLI 接続を作成します。
user roles grant
コマンドでユーザーにロールを割り当てます。以下に例を示します。user roles grant --roles=deployer katie
検証
user roles ls
コマンドでユーザーに付与したロールを一覧表示します。
user roles ls katie ["deployer"]
1.6.2. グループへのユーザーの追加
グループを使用すると、複数のユーザーのパーミッションを変更できます。グループにロールを割り当ててから、そのグループにユーザーを追加します。ユーザーは、グループロールからパーミッションを継承します。
グループは、Data Grid Server 設定のプロパティーレームの一部として使用します。各グループは、ユーザー名とパスワードも必要な特別なタイプのユーザーです。
前提条件
-
Data Grid に
ADMIN
権限がある。 - Data Grid ユーザーを作成すること。
手順
- Data Grid への CLI 接続を作成します。
user create
コマンドを使用してグループを作成します。-
--groups
引数でグループ名を指定します。 グループのユーザー名とパスワードを設定します。
user create --groups=developers developers -p changeme
-
グループをリスト表示します。
user ls --groups
グループにロールを付与します。
user roles grant --roles=application developers
グループのロールを一覧表示します。
user roles ls developers
一度に 1 つずつグループにユーザーを追加します。
user groups john --groups=developers
検証
groups.properties
を開き、グループが存在することを確認します。
cat server/conf/groups.properties
1.6.3. Data Grid のユーザーロールと権限
Data Grid には、キャッシュや Data Grid のリソースにアクセスするための権限をユーザーに提供するロールがいくつかあります。
Role | パーミッション | 説明 |
---|---|---|
| すべて | Cache Manager ライフサイクルの制御など、すべてのパーミッションを持つスーパーユーザー。 |
| ALL_READ、ALL_WRITE、LISTEN、EXEC、MONITOR、CREATE |
|
| ALL_READ、ALL_WRITE、LISTEN、EXEC、MONITOR |
|
| ALL_READ、MONITOR |
|
| MONITOR |
JMX および |