スコープベースのアクセス制御の認可セマンティック
1つのHPE OneView要求を認可するには、複数の認可チェックが必要な場合があります。たとえば、Update
認可チェックは、更新要求を受信すると必ず実行されます。さらに、Update
要求が新しい関連付けを形成する場合(サーバーハードウェアへのサーバープロファイルの割当、ネットワークセットへのネットワークの割当、またはサーバープロファイルテンプレートへのボリュームテンプレートの割当など)、新しい関連付けの作成を認可するにはUse
チェックが必要になります。サーバープロファイルの名前を変更するには1つの認可チェック要求が必要ですが、サーバープロファイルにネットワークとボリュームを追加するための要求では、1つのUpdate
認可チェックと2つのUse
認可チェックが必要です。1つのCreate
要求またはUpdate
要求では、これらの複数のUse
チェックは異なるパーミッションによって認可される可能性があります。
次のテーブルは、HPE OneViewで実行される5つのタイプの認可チェックを示しています。
操作 | アクションセマンティック | 認可チェックセマンティック | 例 |
---|---|---|---|
Create | リソースを作成する権限を制御します。 | パーミッションによってユーザーにリソースカテゴリに対するCreate 権限を付与する必要があります。単一スコープで制限されるパーミッションが、Create 権限を付与する場合、リソースはパーミッションスコープに割り当てられます。複数のスコープのパーミッションが、Create 権限を付与する場合、希望するスコープを指定する必要があります。注記:
リソースの作成が、1つまたは複数のスコープのパーミッションによって許可された場合、ユーザーがそのリソースで操作を行うには、スコープの1つにそのリソースを割り当てる必要があります。 |
テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーがサーバープロファイルを作成できるのは、テストスコープ内のみです。テストスコープと本番環境スコープでサーバー管理者が付与されたユーザーの場合、ユーザーがサーバープロファイルを作成できるのは、テストスコープと本番環境スコープ内のみです。 |
Delete | リソースを削除する権限を制御します。 | パーミッションによってユーザーにリソースカテゴリに対するDelete 権限を付与する必要があります。パーミッションがスコープにより制限されている場合、ユーザーが削除できるのは、そのパーミッションスコープに割り当てられたリソースのみです。注記:
APIのドキュメントで例外として特に明記されていない限り、削除要求に対してそれ以上の認可チェックは実行されません。これには、データモデルを一貫した状態にするためにHPE OneViewで実行された操作(エンクロージャーを削除する際のサーバーハードウェアとインターコネクトの削除など)が含まれます。詳しくは、HPE OneView APIリファレンスを参照してください。 |
テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーが削除できるのは、テストスコープに割り当てられたサーバープロファイルのみです。 |
Update | リソースを変更する権限を制御します。これには、リソースの状態の変更が含まれます。 | パーミッションによってユーザーにリソースカテゴリに対するUpdate 権限を付与する必要があります。パーミッションがスコープにより制限されている場合、ユーザーが更新できるのは、そのパーミッションスコープに割り当てられたリソースのみです。 |
テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーが電源をオン/オフにできるのは、テストスコープに割り当てられたサーバーのみです。 |
Read | リソースを表示する権限を制御します。 | パーミッションによってユーザーにリソースカテゴリに対するRead 権限を付与する必要があります。Read権限にはスコープによる制限がありません。 |
|
Use | 1つのリソースを別のリソースに関連付ける権限を制御します。Use 権限は、Create 操作またはUpdate 操作のコンテキストで必ずチェックされます。Use 権限は、リソースが割り当てられていない場合はチェックされません。例外: |
パーミッションによってユーザーに以下の権限を付与する必要があります。
注記:
割当対象のリソースは |
テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーがサーバーハードウェアをサーバープロファイルに割り当てるか、ネットワークをネットワークセットに割り当てることができるのは、テストスコープ内のみです。 ただし、サーバープロファイルでサーバーハードウェアを |
詳細情報