サーバーアクセスポリシー設定
Overview
組織で管理するサーバーのアクセスポリシー(Policy)を管理できます。 PolicyはIaCのような形態でYAML Codeをベースに動作します。 接続を許可する曜日と時間を設定できるだけでなく、接続可能なIPアドレス設定、Auditの有無、Agent使用の可否を設定できます。 その他、ユーザー別の許可セッション数も設定可能です。
設定可能なポリシー項目
- serverGroup : 接続を許可するサーバーグループ
- account : サーバーグループに登録されたAccount
- protocols : 許可プロトコル(10.2基準、SSH、SFTP、TELNET、FTP、RDPサポート)
- commandRef : 接続時適用するコマンドテンプレート
- 選択したCommand Templateの内容は
Command Policy Detailアコーディオンを展開して確認可能 - コマンドテンプレートの生成と管理方法はCommand Templates参照
- Allow / Denyコマンドテンプレートをすべて適用した場合、Deny優先適用
- 選択したCommand Templateの内容は
- accessTime : 接続許可時間
- accessWeekday : 接続可能曜日
- ipAddress : 接続可能IP設定
*Security > Resource IP Access Control Configuration設定に該当する場合、許可した範囲内のIPのみアクセス許可 - commandAudit : 接続時のコマンド監査適用の有無
- commandDetection : ScriptとAliasが呼び出される時、内部の禁止コマンド検出の有無設定
*制約事項: (10.2.1) Bash Shellでのみ動作、Scriptで他のScriptを呼び出すコマンドは実行ブロック - proxyUsage : Agentを通じたプロキシ接続許可の有無
- maxSessions : サーバー当たり最大同時接続数
- sessionTimeout : サーバーセッションタイムアウト基準時間(分)
- requirePrivilege : サーバー接続時の権限承認必要の有無
*このオプションを有効化(Enable)すると、該当アカウントはサーバー権限要求(Server Privilege Request)ワークフローを通じた承認を受けなければサーバーに接続できません。
Policyコードの編集
Administrator > Servers > Server Access Control > Policies > List Details > Go to Editor Mode
- Administrator > Servers > Server Access Control > Policiesメニューに移動します。
- リストでポリシーコードを編集するPolicyをクリックします。
- Detailタブ右側の
Go to Editor ModeボタンをクリックしてCode Editor画面に移動します。 - 以下の方法を活用してコードエディターウィンドウで希望するポリシー内容を修正します。
- 下部のErrorsタブを通じて直接修正したコードのエラーをデバッグします。
- 下部のTipsタブを通じて各項目に対する定義方法を確認してコードに反映します。
- 右側のボタンを通じてコードに内容を挿入または修正します。
- アクセスポリシー定義が完了したら、右上の
Saveボタンをクリックしてポリシーを保存します。
Last updated on