第1章 インベントリーグループ
インベントリーグループを使用すると、特定のシステムを選択してグループ化できます。個々のインベントリーグループと各グループのシステムメンバーシップを表示および管理できます。さらに、複数のアプリケーションを対象とするシステムリストをグループでフィルタリングできます。特定のインベントリーグループへのユーザーアクセスを管理して、セキュリティーを強化することもできます。
インベントリーグループには次の特徴があります。
- インベントリーグループはシステム専用です。
- インベントリーグループを別のインベントリーグループの子として追加することはできません。
- 各システムは 1 つ のインベントリーグループにのみ属することができます。
- インベントリーグループの使用は必須ではありません。特定のグループに割り当てられていないシステムは、未割り当てのままにすることができます。
1.1. インベントリーグループへのユーザーアクセス
インベントリーグループは、ロールベースのアクセス (RBAC) をサポートします。RBAC を使用すると、ユーザーロールに基づいてインベントリーグループにカスタム権限を設定できます。
インベントリーグループ管理者のロールを使用すると、インベントリーグループを作成できます。このロールは、デフォルト管理者アクセスグループに自動的に組み込まれており、グループから削除することはできません。ただし、このロールを持つユーザーは、任意のインベントリーグループを変更できます。このロールは、システムインベントリー全体にアクセスする資格のあるユーザーにのみ提供してください。
ユーザーがインベントリーグループと RBAC を使用して特定のシステムへのアクセスを制限するには、そのユーザーがデフォルト管理者アクセスグループのメンバーであるか、インベントリーグループ管理者と User Access 管理者の両方のロールを持っている必要があります。
インベントリーグループユーザーには、グループレベルの RBAC 権限が付与されます。カスタム権限には次のものが含まれます。
inventory: groups: read
- グループの詳細ページを表示します。
inventory: groups: write
- グループの名前を変更します。
- システムをグループに追加します。
- グループからシステムを削除します。
ユーザーは、inventory:hosts:read 権限がなければ、グループ内のシステムを表示できません。
システムユーザーには、システムレベルの RBAC 権限が付与されます。システムユーザーは次のインベントリーグループ操作を実行できます。
Inventory hosts read
- インベントリーグループ内のすべてのシステムとその詳細を表示するか、グループ化されていないシステムを表示します。
- 他の Insights サービスのシステムに関する情報を表示します。
Inventory hosts write
- システムの名前を変更します。
- システムを削除します。
1.1.1. インベントリーグループを使用したユーザーアクセスの管理
インベントリーグループへのアクセス権がない場合は、Inventory > Groups に移動すると、Inventory group access permissions needed
というメッセージが表示されます。
グループ自体にアクセスできない場合でも、読み取りアクセス権を持つシステムに割り当てられたインベントリーグループ名を表示できることに注意してください。システムを含むインベントリーグループを表示するには、Inventory Group Viewer ロールまたはインベントリーグループの表示権限が割り当てられている必要があります。
RBAC 設定を変更する前に、「ユーザーシナリオ」セクションの既知の制限事項のリストを確認してください。
ユーザーアクセスの管理、ロールの割り当て、ユーザーアクセスグループへのメンバー追加に関する詳細は、ロールベースアクセス制御 (RBAC) の User Access 設定ガイド を参照してください。