第4章 ワークスペース
ワークスペースを使用すると、特定のシステムを選択してグループ化することができます。個々のワークスペースと各グループのシステムメンバーシップを表示および管理できます。さらに、ワークスペースごとにアプリケーション全体のシステムリストをフィルタリングできます。また、特定のワークスペースへのユーザーアクセスを管理し、セキュリティーを強化することもできます。
ワークスペースには次の特徴があります。
- ワークスペースはシステムのみを対象としています。
- ワークスペースを別のワークスペースの子として追加することはできません。
- 各システムは、1 つ のワークスペースにしか属することができません。
- ワークスペースの使用は必須ではありません。特定のワークスペースに割り当てられていないシステムは、未割り当てのままにしておくことができます。
4.1. ワークスペースへのユーザーアクセス
ワークスペースはロールベースのアクセス (RBAC) をサポートします。RBAC を使用すると、ユーザーロールに応じてワークスペースにカスタムパーミッションを設定できます。
Workspace administrator User Access ロールは、ワークスペースの作成を許可します。このロールは Default Access グループに自動的に組み込まれており、削除できません。ただし、このロールが割り当てられたユーザーはどのワークスペースでも変更できます。このロールは、システムインベントリー全体にアクセスする資格のあるユーザーにのみ提供してください。
ユーザーがワークスペースと RBAC を使用して特定のシステムへのアクセスを制限できるようにするには、そのユーザーがデフォルトのアクセスグループのメンバーであるか、Workspace Administrator と User Access Administrator の両方のロールを持っている必要があります。
ワークスペースユーザーには、グループレベルの RBAC 権限があります。カスタム権限には次のものが含まれます。
inventory:groups:read
- ワークスペースの詳細ページを表示する
inventory:groups:write
- ワークスペースの名前を変更する
- ワークスペースにシステムを追加する
- ワークスペースからシステムを削除する
ユーザーは、inventory:hosts:read 権限がないと、ワークスペース内のシステムを表示できません。
システムユーザーには、システムレベルの RBAC 権限が付与されます。以下のワークスペース操作を実行できます。
inventory:hosts:read
- ワークスペース内のすべてのシステムとその詳細を表示するか、グループ化されていないシステムを表示する
- 他の Insights サービスのシステムに関する情報を表示します。
inventory:hosts:write
- システムの名前を変更します。
- システムを削除します。
4.1.1. ワークスペースへのユーザーアクセスの管理
Workspace にアクセスできない場合は、Inventory > Workspaces に移動し、Workspace access permissions needed
を表示します。
ワークスペース自体へのアクセス権がない場合でも、読み取りアクセス権を持つシステムに割り当てられたワークスペース名は表示できることに注意してください。システムを含むワークスペースを表示するには、Workspaces Viewer ロールを割り当てるか、または Workspace view パーミッションを割り当てる必要があります。
RBAC 設定を変更する前に、「ユーザーシナリオ」セクションの既知の制限事項のリストを確認してください。
ユーザーアクセスの管理、ロールの割り当て、ユーザーアクセスグループへのメンバー追加に関する詳細は、ロールベースアクセス制御 (RBAC) の User Access 設定ガイド を参照してください。
4.1.1.1. カスタムユーザーアクセスロールの作成
ユーザーアクセスアプリケーションを使用して、ワークスペースのユーザーアクセスを設定します。
カスタムロールを作成します。
- 右上隅にある Settings アイコン (⚙) をクリックし、User Access を選択して、ユーザーアクセスアプリケーションに移動します。Identity & Access Management のメインページが表示されます。
- 左側のナビゲーションメニューで、Roles をクリックします。
- Create role をクリックします。Create Role ウィザードが表示されます。
新しいロールを作成するか、既存のロールをコピーするかを選択します。
- 新しいロールを作成するには、create a role from scratch を選択します。
- 既存のロールをコピーするには、Copy an existing role を選択します。ロールのリストが表示されます。コピーするロールを選択し、Next をクリックします。
- 新しいロールに名前を付けます。必要に応じて説明を追加します。
- Next をクリックします。Add permissions ページが表示されます。
アプリケーションフィルターはデフォルトで表示されます。Filter by application ドロップダウンをクリックし、Inventory を選択して、利用可能なすべてのインベントリーパーミッションを表示します。
4 つのインベントリーパーミッションには以下が含まれます。
- inventory:hosts:read - ユーザーがシステムを表示できるようにします (ワークスペースの内外の両方でシステムを表示するために必要です)。
- inventory:hosts:write - ユーザーがシステムの名前を変更または削除できるようにします。
- inventory:groups:read - ユーザーがワークスペースと一般情報 (そこに含まれるシステムは含まない) を表示できるようにします。
- inventory:groups:write - ユーザーがワークスペースのメンバーシップを編集できるようにします (ワークスペースへのシステムの追加と削除)。
必要なインベントリー権限を選択します。以下に例を示します。
- ユーザーにワークスペースとそのワークスペース内のすべてのシステムに対する完全なアクセス権を付与するには、4 つの権限をすべて選択します。
- ワークスペースの編集アクセスを付与せずにワークスペース内のシステムへの完全なアクセスを付与するには、inventory:hosts:read、inventory:hosts:write、および inventory:groups:read を選択しますが、inventory:groups:write は 選択しない でください。
- ユーザーにグループ化されていないシステムへのフルアクセスを付与するには、4 つの権限すべてを選択します (グループ化されていないシステムはワークスペースと見なされます)。
- Next をクリックします。Define Workspace access ページが表示されます。
- リスト内の各権限の横にあるドロップダウン矢印をクリックし、それらの権限に適用するワークスペースを選択します。各権限ごとに少なくとも 1 つのワークスペースを選択する必要があります。
- Next をクリックします。Review details ページが表示されます。
- カスタムロールのパーミッションを確認し、Submit をクリックします。
特定のワークスペースアクセスを必要とする各ワークスペースまたは各ユーザーグループに対して、このプロセスを繰り返します。
シナリオ例
これらの例では、特定のカスタムロールのユーザーに割り当てる権限を説明します。
- ユーザーが特定のワークスペース内のシステムのみを表示できるようにし、どのワークスペースにも属さないシステムを 表示しない ようにするには、それらのワークスペースのみを選択します。
- ユーザーが特定のワークスペース内のシステムだけでなく、どのワークスペースにも属していないシステムも表示できるようにするには、すべての権限に対してそれらのワークスペースを選択し、inventory:hosts 権限に Ungrouped systems を選択します。
- ユーザーがインベントリー内のすべてを表示できるようにするために、カスタムロールを作成する必要はありません。
- システム管理者のグループにワークスペース A、B、C への同じアクセス権を付与するには、単一のカスタムロールを作成し、これら 3 つのワークスペースに権限を割り当てます。ただし、異なるユーザーに異なるワークスペースへのアクセス権を付与する場合は、ワークスペースごとに個別のカスタムロールを作成します。
4.1.1.2. カスタムロールの割り当て
カスタムロールをユーザーまたはグループに割り当てるには、ユーザーアクセスグループを作成します。グループ内のユーザーは、そのグループに割り当てられたロールを受け取ります。
- 画面の右上にある設定アイコン (設定 アイコン (⚙)) をクリックし、次に User Access をクリックします。
- 左側のナビゲーションメニューで、User Access > Groups をクリックします。
- Create group をクリックします。Create group ウィザードには、Name and description ページが表示されます。
- グループ名を追加します。必要に応じて、グループの説明を追加します。
- Next をクリックします。Add roles ページが表示されます。
- 作成したカスタムロールを選択し、Next をクリックします。Add members ページが表示されます。
- カスタムロールを割り当てるユーザーを選択します。
- Next をクリックします。Add service accounts ページが表示されます。
- オプション:選択したユーザーにサービスアカウントを割り当てる場合は、リストから 1 つ以上のサービスアカウントを選択します。
- Next をクリックします。選択内容の詳細を確認し、Submit をクリックします。
1 つ以上のユーザーに割り当てる場合は、カスタムロールごとに、この手順を繰り返します。
4.1.1.3. ユーザーアクセスの設定
カスタムロールを作成して割り当てた後も、組織内の全ユーザーには Inventory Hosts Administrator ロールが割り当てられているため、インベントリーへのフルアクセス権が保持されます。これにより、すべてのユーザーがすべてのホストを表示および編集できるようになります。Default Access ワークスペースでは、このロールが組織内のすべてのユーザーにデフォルトで割り当てられます。
組織ユーザーのアクセスをカスタムロールで定義されたワークスペース/システムのみに制限するには、デフォルトのアクセスワークスペースを編集して、Inventory Hosts Administrator ロールを削除します。
- 画面の右上にある設定アイコン (設定 アイコン (⚙)) をクリックし、次に User Access をクリックします。
- 左側のナビゲーションメニューで、User Access > Groups をクリックします。ユーザーアクセスグループのリストが表示されます。
- Default access グループをクリックします。ロールのリストが表示されます。
- Inventory Hosts Administrator ロールのチェックボックスを選択します。
- 行の右端にあるオプションアイコン (⋮) をクリックします。Remove role オプションが表示されます。
- Remove role をクリックします。Remove role ダイアログボックスが表示されます。
- Remove role ボタンをクリックします。これまでに Default Access ワークスペースを編集したことがない場合は、警告メッセージが表示されます。
- I understand, and I want to continue チェックボックスを選択して、Continue をクリックします。
4.1.1.4. インベントリーホストの管理者アクセスの設定
Default Access ワークスペースを編集した後、Inventory Hosts Administrator 権限を持つユーザーの新しいユーザーアクセスグループを作成する必要があります。
- 画面の右上にある設定アイコン (設定 アイコン (⚙)) をクリックし、次に User Access をクリックします。
- 左側のナビゲーションメニューで、User Access > Groups をクリックします。ワークスペースのリストが表示されます。
- Create group をクリックします。Create Group ウィザードが表示されます。
- グループの名前を追加します。必要に応じて説明を追加します。
- Next をクリックします。Add roles ページが表示されます。
- ロールのリストから Inventory Hosts Administrator ロールを選択します。
- Next をクリックします。Add members ページが表示されます。
- ロールを割り当てるユーザーを選択します。
- Next をクリックします。Add service accounts ページが表示されます。
- オプション:選択したユーザーにサービスアカウントを割り当てる場合は、リストから 1 つ以上のサービスアカウントを選択します。
- Next をクリックします。Review details ページが表示されます。
- 選択した内容の詳細を確認し、Submit をクリックします。
アクセスの設定が完了すると、組織内の特定のユーザーには完全なインベントリーアクセスが許可され、他のユーザーには制限付きのインベントリーアクセスが許可されます。