Permissions付与および回収
Overview
管理者はユーザーまたはユーザーグループにサーバーまたはサーバーグループに対するアクセス権限(Permission)を直接付与または回収できます。 一度付与されたPermissionは修正が不可能で、削除のみ可能です。
Permissions付与
1. 権限を付与する対象を選択します。
Administrator > Servers > Server Access Control > Access Control
- Administrator > Servers > Server Access Control > Access Controlメニューに移動します。
- 権限を付与するユーザーまたはユーザーグループを選択します。
2. Step 1: 権限を付与するサーバーまたはサーバーグループのアカウントを選択します。
Administrator > Servers > Server Access Control > Access Control > Details > Grant Permissions Step 1
- まず左側リストでアクセス権限を付与するサーバーグループを選択します。
- 選択したサーバーグループに属するサーバーおよびアカウントが右側に表示されます。リストで権限を付与するサーバーとアカウントを選択します。
- 右側でServersで権限を付与するサーバーを選択します。
- 右下Accountsで選択されたサーバーに接続できるAccountを選択します。
Nextボタンをクリックします。
Grant Permissions Step 1でサーバーは最大1000個までしか表示されません。 一つのサーバーグループ内1000個以上のサーバーが登録された場合、Serversフィールドでサーバー名検索を通じてサーバーを追加します。
3. Step 2: 選択したサーバーに対するアクセス可能ポリシーを設定します。
Administrator > Servers > Server Access Control > Access Control > Details > Grant Permissions Step 2
- Step 1 で選択していた全体アカウントを最終確認して間違って付与されたアカウントがないかを確認します。 もし修正を望む場合
Previousボタンをクリックして以前の段階に移動できます。 - ポリシーの各項目は以下の通りです。
{n}Server(s) selected: 項目は Step 1 で選択していたServer数 x Accountの数が表示されます。 クリックすると各項目をリスト形態で確認できます。- Set Permissions by Minute: このオプションを選択するとサーバーアクセス権限を分単位で設定できます。チェックボックスを選択すると下記設定項目が有効化されます。
- Start Trigger : 権限付与開始条件を選択します
- Access to the Server : ユーザーがサーバーにアクセスする時、即座に権限が有効化されます。サーバーセッション維持可否と関係なく、有効化時点から指定された期間の間サーバーに接続できます。
- Grant : 権限付与即座にタイマーが開始され、ユーザーの実際接続可否と関係なく指定された期間の間のみ権限が有効です。
- Duration(Minutes): 権限が有効な分単位時間を入力します。
- Start Trigger : 権限付与開始条件を選択します
- Expiration Date: 接続権限有効期限を設定します。最大1年まで設定できます。(Default = 1年後)
- Protocols: サーバー接続に使用するプロトコルを使用します。
- Command Template: サーバーに接続後使用不可能なコマンドセットを設定できます。下段のCommand Template Detailsをクリックして設定された詳細条件を確認できます。
*制約事項: (10.2.1) Grant PermissionsではDenyに設定されたCommand Templateのみ使用が可能です。 - Configure Whitelist: Command Templateを通じてコマンドを制御する過程で特定のコマンドに対する例外処理許可をサポートします。Configure Whitelistチェックボックスにチェックすると以下の設定が表示されます:
- Commands: 許可が必要なコマンドを記入します。
- Keyword: キーワードで入力(ls、catなど)
- RegEx: 正規表現で入力(^sudo\b[^&|;\n]*$など)
- Whitelist Expiration Date: 上記コマンドに対する別途例外処理有効期限日を指定します。
- Commands: 許可が必要なコマンドを記入します。
- Require Privilege: このオプションを有効化すると、ユーザーが該当アカウントでサーバーに接続するためにServer Privilege Requestワークフローを通じた承認手順を必須で経ることになります。これはWindowsサーバーの管理者(Admin)アカウントのように高い権限のアカウントに対するアクセスを一時的に許可し管理する時に有用です。
- このオプションが有効化されたアカウントで接続を試行するとユーザーダッシュボードでサーバー接続時、
Connectボタンが無効化され、アクセス権限要求を提出しなければならないという案内メッセージが表示されます。 - Require PrivilegeオプションはサーバーのOS種類と関係なくすべてのアカウントに適用できます。
- このオプションが有効化されたアカウントで接続を試行するとユーザーダッシュボードでサーバー接続時、
- Access Start Time: 接続可能開始時間を設定します。
- Access End Time: 接続可能終了時間を設定します。
- Access Weekday: 接続を許可する曜日を設定します。
- IP Addresses: 接続を許可するIPアドレスを設定します。
- Command Audit: このPermissionを通じて接続されたセッションで使用されたcommandのログ可否を設定します。
- Command Detection: ScriptおよびAliasが呼び出される時、内部の禁止コマンド検出可否を設定します。
*制約事項: (10.2.1) Bash Shellでのみ動作、Scriptで他のScriptを呼び出すコマンドは実行ブロック - Proxy Usage: QueryPie AgentでこのPermissionを通じてサーバー接続可能可否を設定します。
- Max Sessions: 一ユーザーが一サーバーに同時接続可能なセッション数を制限します。
- Session Timeout (minutes): 入力された時間(分)だけ活動しないとセッションは終了されます。
- 右下の
Grantボタンをクリックすると権限付与が完了します。
Access Control権限回収
Administrator > Servers > Server Access Control > Access Control > Servers
- Server Settings > Server Access Control > Access Controlメニューに移動します。
- 権限を付与するユーザーまたはユーザーグループを選択します。
- 接続可能サーバーリストで回収するサーバー/アカウントを選択します。(複数選択可能)
- リスト左上に表示される
Revokeボタンをクリックします。 - 確認ポップアップでRevoke入力後
Revokeボタンを押すとRoleが正常に回収されます。
Q. 権限が付与されたり回収された履歴を確認できる場所がありますか? A. AuditメニューでServers > Access Control Logsメニューを選択すると確認できます。
Last updated on