カスタムカテゴリによるアクセス制御
SIDfm VM のアクセス範囲制限(ゾーニング)の機能は、「ユーザの権限」による機能の使用制御と、ユーザならびにホストの「カスタムカテゴリ」への関連付け(紐付け)によりアクセス範囲制限を実現しています。
ユーザ権限の違いによるアクセス(操作)範囲
SIDfm VM は、以下の四つの権限のいずれかをユーザに付与して利用します。ユーザに付与された権限と自分の属するカスタムカテゴリ(「所属カテゴリ」という)により、ユーザのアクセス範囲制限(ゾーニング)を行なっています。ユーザ権限の詳細については、「ユーザ権限の種類」をご覧ください。
| SIDfm VM管理者 | SIDfm VM の全てにアクセス可能です。全てのホストの作成とユーザの作成が可能です。また、カスタムカテゴリは、当該ユーザ権限でのみ作成可能です。 |
| SIDfm VM報告者 | 所属カテゴリの範囲内でアクセス可能です。また、所属カテゴリ内のホストの作成とユーザの作成が可能です。この権限で作成されたホスト、ユーザは、所属カテゴリを引き継ぎます。直接サーバやシステムの管理を行う担当者が基本的には当該ユーザ権限で利用することになります。 |
| SIDfm VM利用者 | 所属カテゴリの範囲内でアクセス可能です。また、所属カテゴリ内のホストの作成とユーザの作成はできませんが、ホストの脆弱性チケットの操作や一部ホスト情報の更新が可能です。直接サーバやシステムの管理のみを行う担当者は基本的には当該ユーザ権限で利用することになります。後で追加を行った権限であり、以降の説明では記載されておりませんが、「管理操作(ホスト・ユーザの登録・削除等)ができないSIDfmVM報告者」とお考え下さい。 |
| SIDfm VM閲覧者 | 自分の属するカスタムカテゴリの範囲内で「閲覧」のみ可能です。 |
アクセス制御を行うための設定方法
SIDfm VM 管理者は、予め、「カスタムカテゴリの作成」を行う必要があります。各ユーザの権限の設定とカスタムカテゴリとの関連付けは、「ユーザ設定」画面で実施します。各ホストのカスタムカテゴリ設定は、「ホスト設定」画面で実施します。エージェントによりホスト登録された場合のカスタムカテゴリ設定は、「ホストにカスタムカテゴリを設定する」をご参照下さい。
アクセス制御の形態の一例
カスタムカテゴリを使用して、ユーザのアクセス範囲制限(ゾーニング)を行なっている一例を以下に示します。例えば、下図において、ユーザ AAA と CCC は、それぞれ一つのカスタムカテゴリと関連付けられており、他のカテゴリへのアクセスはできません。一方、ユーザ BBB は、複数のカスタムカテゴリとの関連付けが行われているため、複数のカテゴリに属するホスト情報へのアクセスが可能となります。
カスタムカテゴリによるアクセス制御の様子
