スコープベースのアクセス制御の認可セマンティック

1つのHPE OneView要求を認可するには、複数の認可チェックが必要な場合があります。例えば、Update認可チェックは、アップデート要求を受信すると必ず実行されます。さらに、Update要求が新しい関連付けを形成する場合(サーバーハードウェアへのサーバープロファイルの割当、ネットワークセットへのネットワークの割当、またはサーバープロファイルテンプレートへのボリュームテンプレートの割当など)、新しい関連付けの作成を認可するにはUseチェックが必要になります。サーバープロファイルの名前を変更するには1つの認可チェック要求が必要ですが、サーバープロファイルにネットワークとボリュームを追加するための要求では、1つのUpdate認可チェックと2つのUse認可チェックが必要です。1つのCreate要求またはUpdate要求では、これらの複数のUseチェックは異なるパーミッションによって認可される可能性があります。

次のテーブルは、HPE OneViewで実行される5つのタイプの認可チェックを示しています。

操作 アクションセマンティック 認可チェックセマンティック
Create リソースを作成する権限を制御します。 パーミッションによってユーザーにリソースカテゴリに対するCreate権限を付与する必要があります。単一スコープで制限されるパーミッションが、Create権限を付与する場合、リソースはパーミッションスコープに割り当てられます。複数のスコープのパーミッションが、Create権限を付与する場合、希望するスコープを指定する必要があります。
注記:

リソースの作成が、1つまたは複数のスコープのパーミッションによって許可された場合、ユーザーがそのリソースで操作を行うには、スコープの1つにそのリソースを割り当てる必要があります。

テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーがサーバープロファイルを作成できるのは、テストスコープ内のみです。テストスコープと本番環境スコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーがサーバープロファイルを作成できるのは、テストスコープと本番環境スコープ内のみです。
Delete リソースを削除する権限を制御します。 パーミッションによってユーザーにリソースカテゴリに対するDelete権限を付与する必要があります。パーミッションがスコープにより制限されている場合、ユーザーが削除できるのは、そのパーミッションスコープに割り当てられたリソースのみです。
注記:

APIのドキュメントで例外として特に明記されていない限り、削除要求に対してそれ以上の認可チェックは実行されません。これには、データモデルを一貫した状態にするためにHPE OneViewで実行された操作(エンクロージャーを削除する際のサーバーハードウェアとインターコネクトの削除など)が含まれます。詳しくは、HPE OneView APIリファレンスを参照してください。

テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーが削除できるのは、テストスコープに割り当てられたサーバープロファイルのみです。

Update リソースを変更する権限を制御します。これには、リソースの状態の変更が含まれます。 パーミッションによってユーザーにリソースカテゴリに対するUpdate権限を付与する必要があります。パーミッションがスコープにより制限されている場合、ユーザーがアップデートできるのは、そのパーミッションスコープに割り当てられたリソースのみです。

テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーが電源をオン/オフにできるのは、テストスコープに割り当てられたサーバーのみです。

Read リソースを表示する権限を制御します。 パーミッションによってユーザーにリソースカテゴリに対するRead権限を付与する必要があります。Read権限にはスコープによる制限がありません。  
Use 1つのリソースを別のリソースに関連付ける権限を制御します。Use権限は、Create操作またはUpdate操作のコンテキストで必ずチェックされます。Use権限は、リソースが割り当てられていない場合はチェックされません。

例外:associated resourceからテンプレート(サーバープロファイルテンプレートやボリュームテンプレートなど)を割当解除するには、Use権限が必要です。

パーミッションによってユーザーに以下の権限を付与する必要があります。
  • 役割には、request resourceカテゴリに対するCreate権限またはUpdate権限が必要です。

  • 役割には、associated resourceカテゴリに対するUse権限が必要です。

  • パーミッションがスコープにより制限されている場合は、request resourceassociated resourceの両方をそのパーミッションスコープに割り当てる必要があります。

注記:

割当対象のリソースはassociated resourceと呼ばれ、割当先のリソースはrequest resourceと呼ばれます。

テストスコープでサーバー管理者権限が付与されたユーザーの場合、ユーザーがサーバーハードウェアをサーバープロファイルに割り当てるか、ネットワークをネットワークセットに割り当てることができるのは、テストスコープ内のみです。

ただし、サーバープロファイルでサーバーハードウェアをunassignedに設定した場合や、SANストレージボリュームを削除した場合、Useチェックは実行されません。

詳細情報