第10章 ユーザーアクセスセキュリティーの向上
Red Hat OpenStack Platform 17 でセキュアなロールベースのアクセス制御 (SRBAC) を有効にすることができます。SRBAC モデルには、プロジェクトスコープ内に存在する 3 つのロールに基づいて、3 つのペルソナがあります。
10.1. SRBAC のペルソナ
ペルソナは、ロールとロールが属するスコープの組み合わせです。Red Hat OpenStack Platform 17 をデプロイすると、プロジェクトスコープから任意のペルソナを割り当てることができます。
10.1.1. Red Hat OpenStack Platform SRBAC ロール
現在、プロジェクトの範囲内で 3 つの異なるロールを利用できます。
- admin
-
admin
ロールには、リソースまたは API に対するすべての作成、読み取り、更新、または削除操作が含まれます。 - member
-
member
ロールは、メンバーであるスコープによって所有されるリソースを作成、読み取り、更新、および削除することができます。 - reader
-
reader
ロールは、適用されるスコープに関係なく、読み取り専用操作用です。このロールは、それが適用されるスコープ全体にわたってリソースを表示できます。
10.1.2. Red Hat OpenStack Platform SRBAC スコープ
スコープは、操作が実行されるコンテキストです。Red Hat OpenStack Platform 17 では、project
スコープのみが利用可能です。project
スコープは、OpenStack 内の分離されたセルフサービスリソース用の API のサブセットです。
10.1.3. Red Hat OpenStack Platform SRBAC ペルソナ
- プロジェクト管理者
プロジェクト管理者ペルソナは使用可能な唯一の管理者ペルソナであるため、Red Hat OpenStack Platform 17 には、プロジェクト管理者ペルソナに最高レベルの権限を付与する修正されたポリシーが含まれています。このペルソナには、プロジェクト全体のリソースに対する作成、読み取り、更新、および削除操作が含まれます。これには、ユーザーや他のプロジェクトの追加と削除が含まれます。
注記このペルソナは、将来の開発によって範囲が変更されることが予想されます。このロールは、プロジェクトメンバーおよびプロジェクトリーダーに付与されるすべての権限を意味します。
- プロジェクトメンバー
- プロジェクトメンバーペルソナは、プロジェクトスコープ内のリソースを消費する権限を付与されたユーザー用です。このペルソナは、割り当てられているプロジェクト内のリソースを作成、一覧表示、更新、および削除できます。このペルソナは、プロジェクトリーダーに付与されるすべての権限を意味します。
- プロジェクトリーダー
- プロジェクトリーダーペルソナは、プロジェクト内の機密性の低いリソースを表示する権限を付与されたユーザー用です。プロジェクトでは、リソースを検査または表示する必要があるエンドユーザー、または監査目的で 1 つのプロジェクト内のプロジェクト固有のリソースのみを表示する必要がある監査者にリーダーのロールを割り当てます。プロジェクトリーダーペルソナは、すべての監査ユースケースに対応できるわけではありません。
system
または domain
スコープに基づく追加のペルソナは開発中であり、使用できません。
Image サービス (glance) は、metadef API の SRBAC 権限をサポートしていません。RHOSP 17.1 では、Image サービス metadef API のデフォルトポリシーは管理者のみを対象としています。