6.10. 制約の設定
6.10.1. 機密性制約の設定
各機密性制約は、「機密」とみなされるリソースのセットを定義します。通常、機密リソースとは、パスワードなどの秘密のリソースや、ネットワーキング、JVM 設定、システムプロパティーなどのサーバーに深刻な影響を与えるリソースのことです。アクセス制御システム自体も機密であると見なされます。リソースの機密性は、どのロールが特定のリソースの読み取り、書き込み、またはアドレス指定できるかを制限します。
機密性制約の設定は、管理 API( /core-service=management/access=authorization/constraint=sensitivity-classification
)にあります。
管理モデル内で、各機密性制約は classification
として識別されます。分類は types
にグループ化されます。39 個のタイプには分類が含まれており、これらの分類は 13 タイプにグループ化されます。
機密性制約を設定するには、write-attribute 操作を使用して configured-requires-read
、configured-requires-write
、または configured-requires-addressable
属性を設定します。操作のタイプを機密に設定するには、属性の値を true
に設定します。機密にしない場合は値を false
に設定します。デフォルトでは、これらの属性は設定されず、default-requires-read
、default-requires-write
、および default-requires-addressable
の値が使用されます。設定した属性が適用されると、デフォルトではなく、その値が使用されます。デフォルト値は変更できません。
例6.5 読み取りシステムプロパティーを機密操作にする
[domain@localhost:9999 /] cd /core-service=management/access=authorization/constraint=sensitivity-classification/type=core/classification=system-property [domain@localhost:9999 classification=system-property] :write-attribute(name=configured-requires-read, value=true) { "outcome" => "success", "result" => undefined, "server-groups" => {"main-server-group" => {"host" => {"master" => { "server-one" => {"response" => {"outcome" => "success"}}, "server-two" => {"response" => {"outcome" => "success"}} }}}} } [domain@localhost:9999 classification=system-property] :read-resource { "outcome" => "success", "result" => { "configured-requires-addressable" => undefined, "configured-requires-read" => true, "configured-requires-write" => undefined, "default-requires-addressable" => false, "default-requires-read" => false, "default-requires-write" => true, "applies-to" => { "/host=master/system-property=*" => undefined, "/host=master/core-service=platform-mbean/type=runtime" => undefined, "/server-group=*/system-property=*" => undefined, "/host=master/server-config=*/system-property=*" => undefined, "/host=master" => undefined, "/system-property=*" => undefined, "/" => undefined } } } [domain@localhost:9999 classification=system-property]
これらの属性の設定に応じて、どのロールがどの操作を実行できるかは、表6.2「機密性制約の設定結果」 に要約されています。
値 | requires-read | requires-write | requires-addressable |
---|---|---|---|
| 読み取りは機密です。
| 書き込みは機密です。
| アドレス指定は機密です。
|
| 読み取りは機密ではありません。 すべての管理ユーザーが読み取り可能です。 | 書き込みは機密ではありません。
| アドレス指定は機密ではありません。 すべての管理ユーザーがアドレス指定できます。 |