3.2. インベントリーグループへのユーザーアクセス
インベントリーグループを使用すると、インベントリー内のシステムを場所、部門、目的などの論理単位にグループ化できます。各システムは 1 つのインベントリーグループにのみ属することができます。
インベントリーグループは、ロールベースのアクセス制御 (RBAC) もサポートします。RBAC を使用すると、ユーザーロールに基づいてインベントリーグループにカスタム権限を設定できます。
Inventory group administrator のユーザーアクセスロールを使用すると、インベントリーグループを作成できます。このロールは Default Access グループに自動的に組み込まれており、削除できません。ただし、このロールを持つユーザーは、任意のインベントリーグループを変更できます。このロールは、システムインベントリー全体にアクセスする資格のあるユーザーに のみ 提供してください。
ユーザーがインベントリーグループおよび RBAC を使用して特定のシステムへのアクセスを制限できるようにするには、そのユーザーがデフォルトのアクセスグループのメンバーであるか、インベントリーグループ管理者とユーザーアクセス管理者 ロールの両方を持っている必要があります。
インベントリーグループユーザーには、group-level の RBAC 権限が付与されます。カスタム権限には次のものが含まれます。
inventory:groups:read
- インベントリーグループの詳細ページを表示
inventory:groups:write
- インベントリーグループの名前を変更する
- インベントリーグループにシステムを追加する
- インベントリーグループからシステムを削除する
ユーザーは、inventory:hosts:read 権限がないと、インベントリーグループ内のシステムを表示できません。
システムユーザーには、system-level の RBAC 権限が付与されます。次のインベントリーグループ操作を実行できます。
inventory:hosts:read
- インベントリーグループ内のすべてのシステムとその詳細を表示するか、グループ化されていないシステムを表示します。
- 他の Insights サービスのシステムに関する情報を表示します。
inventory:hosts:write
- システムの名前を変更します。
- システムを削除します。
3.2.1. インベントリーグループへのユーザーアクセスの管理
インベントリーグループへのアクセス権がない場合は、Inventory > Inventory groups に移動すると、Inventory group access permissions needed
メッセージが表示されます。
インベントリーグループ自体にアクセスできない場合でも、読み取りアクセス権を持つシステムに割り当てられたインベントリーグループ名を表示できることに注意してください。システムを含むインベントリーグループを表示するには、インベントリーグループの閲覧者ロールを持っているか、インベントリーグループの表示権限が割り当てられている必要があります。
RBAC 設定を変更する前に、「ユーザーシナリオ」セクションの既知の制限事項のリストを確認してください。
ユーザーアクセスの管理、ロールの割り当て、ユーザーアクセスグループへのメンバー追加に関する詳細は、ロールベースアクセス制御 (RBAC) の User Access 設定ガイド を参照してください。
3.2.1.1. カスタムユーザーアクセスロールの作成
ユーザーアクセスアプリケーションを使用して、インベントリーグループのユーザーアクセスを設定します。
カスタムロールを作成します。
- 右上隅にある Settings アイコン (⚙) をクリックし、User Access を選択して、ユーザーアクセスアプリケーションに移動します。Identity & Access Management のメインページが表示されます。
- 左側のナビゲーションメニューで、Roles をクリックします。
- Create role をクリックします。Create Role ウィザードが表示されます。
新しいロールを作成するか、既存のロールをコピーするかを選択します。
- 新しいロールを作成するには、create a role from scratch を選択します。
- 既存のロールをコピーするには、Copy an existing role を選択します。ロールのリストが表示されます。コピーするロールを選択し、Next をクリックします。
- 新しいロールに名前を付けます。必要に応じて説明を追加します。
- Next をクリックします。Add permissions ページが表示されます。
アプリケーションフィルターはデフォルトで表示されます。Filter by application ドロップダウンをクリックし、Inventory を選択して、利用可能なすべてのインベントリーパーミッションを表示します。
4 つのインベントリーパーミッションには以下が含まれます。
- inventory:hosts:read - ユーザーがシステムを表示できるようにします (インベントリーグループの内部と外部の両方のシステムを表示するために必要です)。
- inventory:hosts:write - ユーザーがシステムの名前を変更または削除できるようにします。
- inventory:groups:read - ユーザーがインベントリーグループと一般情報 (その中のシステムは含まない) を表示できるようにします。
- nventory:groups:write - ユーザーがインベントリーグループのメンバーシップを編集できるようにします (インベントリーグループへのシステムの追加と削除)。
必要なインベントリー権限を選択します。以下に例を示します。
- ユーザーにインベントリーグループとそのインベントリーグループ内のすべてのシステムへのフルアクセス権を付与するには、4 つの権限をすべて選択します。
- インベントリーグループの編集アクセス権を付与せずに、ユーザーにインベントリーグループ内のシステムへのフルアクセス権を付与するには、inventory:hosts:read、inventory:hosts:write、および inventory:groups:read を選択しますが、inventory:groups:write は選択 しません。
- ユーザーにグループ化されていないシステムへのフルアクセスを許可するには、4 つの権限をすべて選択します (グループ化されていないシステムはインベントリーグループと見なされます)。
- Next をクリックします。Define Inventory group access ページが表示されます。
- リスト内の各権限の横にあるドロップダウン矢印をクリックし、それらの権限に適用するインベントリーグループを選択します。各権限に対して少なくとも 1 つのインベントリーグループを選択する必要があります。
- Next をクリックします。Review details ページが表示されます。
- カスタムロールのパーミッションを確認し、Submit をクリックします。
各インベントリーグループまたは特定のインベントリーグループアクセスを必要とする各ユーザーグループに対して、このプロセスを繰り返します。
シナリオ例
これらの例では、特定のカスタムロールのユーザーに割り当てる権限を説明します。
- ユーザーが特定のインベントリーグループ内のシステムのみを表示できるようにし、どのインベントリーグループにも属さないシステムを表示 しない ようにするには、それらのインベントリーグループのみを選択します。
- ユーザーが特定のインベントリーグループ内のシステムだけでなく、どのインベントリーグループにも属さないシステムも表示できるようにするには、すべての権限に対してそれらのインベントリーグループを選択し、inventory:hosts 権限に対して グループ化されていないシステム を選択します。
- ユーザーがインベントリー内のすべてを表示できるようにするために、カスタムロールを作成する必要はありません。
- システム管理者のグループにインベントリーグループ A、B、および C への同じアクセス権を付与するには、単一のカスタムロールを作成し、これら 3 つのインベントリーグループに権限を割り当てます。ただし、異なるユーザーに異なるインベントリーグループへのアクセス権を付与する場合は、インベントリーグループごとに個別のカスタムロールを作成します。
3.2.1.2. カスタムロールの割り当て
カスタムロールをユーザーまたはグループに割り当てるには、ユーザーアクセスグループを作成します。グループ内のユーザーは、そのグループに割り当てられたロールを受け取ります。
- 画面の右上にある設定アイコン (設定 アイコン (⚙)) をクリックし、次に User Access をクリックします。
- 左側のナビゲーションメニューで、User Access > Groups をクリックします。
- Create group をクリックします。Create group ウィザードには、Name and description ページが表示されます。
- グループ名を追加します。必要に応じて、グループの説明を追加します。
- Next をクリックします。Add roles ページが表示されます。
- 作成したカスタムロールを選択し、Next をクリックします。Add members ページが表示されます。
- カスタムロールを割り当てるユーザーを選択します。
- Next をクリックします。Add service accounts ページが表示されます。
- 任意です。選択したユーザーにサービスアカウントを割り当てる場合は、リストから 1 つ以上のサービスアカウントを選択します。
- Next をクリックします。選択内容の詳細を確認し、Submit をクリックします。
1 つ以上のユーザーに割り当てる場合は、カスタムロールごとに、この手順を繰り返します。
3.2.1.3. ユーザーアクセスの設定
カスタムロールを作成して割り当てた後、組織内のすべてのユーザーがインベントリーに完全アクセスできます。これは、インベントリー ホスト管理者 ロールがまだ割り当てられているためです。これにより、すべてのユーザーがすべてのホストを表示および編集できるようになります。Default Access ワークスペースでは、このロールが組織内のすべてのユーザーにデフォルトで割り当てられます。
組織ユーザーの、カスタムロールで定義されたインベントリーグループ/システムのみへのアクセスを制限するには、デフォルトのアクセスインベントリーグループを編集して、インベントリー ホスト管理者 ロールを削除します。
- 画面の右上にある設定アイコン (設定 アイコン (⚙)) をクリックし、次に User Access をクリックします。
- 左側のナビゲーションメニューで、User Access > Groups をクリックします。ユーザーアクセスグループのリストが表示されます。
- Default access グループをクリックします。ロールのリストが表示されます。
- Inventory Hosts 管理者 ロールのチェックボックスを選択します。
- 行の右端にあるオプションアイコン (⋮) をクリックします。Remove role オプションが表示されます。
- Remove role をクリックします。Remove role ダイアログボックスが表示されます。
- Remove role ボタンをクリックします。これまでに Default Access インベントリーグループを編集したことがない場合は、警告メッセージが表示されます。
- I understand, and I want to continue チェックボックスを選択して、Continue をクリックします。
3.2.1.4. インベントリーホスト管理者アクセスの設定
Default Access Inventory グループを編集した後、インベントリー ホスト管理者 権限を持つ必要があるユーザーの新規ユーザーアクセスグループを作成する必要がある場合があります。
- 画面の右上にある設定アイコン (設定 アイコン (⚙)) をクリックし、次に User Access をクリックします。
- 左側のナビゲーションメニューで、User Access > Groups をクリックします。インベントリーグループのリストが表示されます。
- Create group をクリックします。Create Group ウィザードが表示されます。
- グループの名前を追加します。必要に応じて説明を追加します。
- Next をクリックします。Add roles ページが表示されます。
- ロールの一覧から Inventory Hosts administrator ロールを選択します。
- Next をクリックします。Add members ページが表示されます。
- ロールを割り当てるユーザーを選択します。
- Next をクリックします。Add service accounts ページが表示されます。
- 任意です。選択したユーザーにサービスアカウントを割り当てる場合は、リストから 1 つ以上のサービスアカウントを選択します。
- Next をクリックします。Review details ページが表示されます。
- 選択した内容の詳細を確認し、Submit をクリックします。
アクセスの設定が完了すると、組織内の特定のユーザーには完全なインベントリーアクセスが許可され、他のユーザーには制限付きのインベントリーアクセスが許可されます。