6.6. 制約
制約とは、指定のリソースリストに対するアクセス制御設定の名前付きセットです。RBAC システムは制約とロールパーミッションの組み合わせを使用して、特定ユーザーが管理操作を実行できるかどうかを決定します。
制約は、アプリケーション、機密性、および Vault 式の 3 つに分類されます。
- アプリケーション制約
アプリケーション制約は、Deployer ロールのユーザーがアクセス可能なリソースおよび属性のセットを定義します。デフォルトでは、有効になっている唯一のアプリケーション制約は、デプロイメント、デプロイメントオーバーレイが含まれるコアです。アプリケーション制約には、データソース、ロギング、メール、メッセージング、ネーミング、resource-adapters、およびセキュリティーも含まれます(デフォルトでは有効になっていません)。これらの制約により、Deployer ユーザーはアプリケーションをデプロイできるだけでなく、これらのアプリケーションが必要とするリソースを設定および維持できます。
アプリケーション制約の設定は、Management API(
/core-service=management/access=authorization/constraint=application-classification
)にあります。- 機密性制約
機密性制約は、「機密」とみなされるリソースのセットを定義します。通常、機密リソースとは、パスワードなどの秘密のリソースや、ネットワーキング、JVM 設定、システムプロパティーなどのサーバーの操作に重大な影響を与えるリソースのことです。アクセス制御システム自体も機密であると見なされます。
機密リソースへの書き込みが許可されるロールは Administrator と SuperUser ロールのみです。Auditor ロールは機密リソースの読み取りのみが許可されます。その他のロールは機密リソースにアクセスできません。
機密性制約の設定は、管理 API(
/core-service=management/access=authorization/constraint=sensitivity-classification
)にあります。- vault 式制約
Vault 式制約は、vault 式の読み取りまたは書き込みが機密操作として考慮されるかどうかを定義します。デフォルトでは、vault 式の読み書きは機密操作です。
Vault 式制約の設定は、管理 API(
/core-service=management/access=authorization/constraint=vault-expression
)にあります。
制約は管理コンソールでは設定できません。