スコープベースのアクセス制御に関する情報

  • スコープによってユーザーの権限を制限せずに、引き続き役割ベースのアクセス制御を使用することができます。HPE OneViewでは、すべてのリソースという表記を使用して、パーミッションがスコープによって制限されていないことを示します。すべてのリソースはスコープではありません。

  • グローバル設定のスコープによるユーザーインターフェイス読み取りアクセスを制限オプションを使用すると、スコープ制限のないインフラストラクチャ管理者は、スコープで制限されたユーザーがスコープ外のリソースを表示するのを防ぐことができます。スコープで制限されたユーザーは、役割で定義され、スコープによって制限されます。

  • 認可チェックは、ユーザーが明示的に要求した変更に対してのみ実行されます。例えば、ユーザーがサーバーをサーバープロファイルに割り当てた場合、HPE OneViewは、そのサーバープロファイルに対してUpdateチェックを実行し、サーバーに対してUseチェックを実行します。それ以外のUseチェックは実行されません。SBAC認可セマンティックに詳細が記載されています。
  • 一部のリソースカテゴリはスコープをサポートしていません。スコープチェックは、スコープをサポートしていないリソースカテゴリでは実行されません。スコープが有効なリソースのカテゴリに、スコープをサポートするリソースのカテゴリがリストされます。

  • スコープが有効なリソースのうち、スコープに割り当てられていないものは、スコープによってパーミッションが制限されていないユーザーのみが管理できます。例えば、スコープによって権限が制限されていないインフラストラクチャ管理者は、すべてのリソースを管理できます。ただし、テストスコープでサーバー管理者権限を付与されたユーザーは、テストスコープに割り当てられたリソースしか管理できません。
  • スコープオペレーターおよびサーバー管理者は、スコープを管理する権限をユーザーに付与します。これらの役割によって付与される権限は、スコープによって制限される場合があります。ユーザーは、パーミッションスコープに割り当てられたスコープのみを管理できます。例えば、インフラストラクチャ管理者が本番環境リソースを財務スコープまたはマーケティングスコープに割り当てる権限をユーザーに付与する場合、インフラストラクチャ管理者は以下を行う必要があります。
    • ユーザーにパーミッションを割り当てます(スコープオペレーター、本番環境)。

    • 財務スコープとマーケティングスコープを本番環境スコープに割り当てます。

    注記:

    財務スコープを本番環境スコープに割り当てても、財務リソースは本番環境リソースに割り当てられません。財務スコープインスタンスが本番環境スコープに割り当てられるだけです。財務スコープは本番環境スコープに割り当てられているため、ユーザーは財務スコープをアップデートできます。ユーザーは本番環境スコープに割り当てられていないため、本番環境スコープをアップデートすることはできません。パーミッションによって、パーミッションスコープに割り当てられているリソースに権限を付与します。パーミッションスコープには権限は付与されません。

  • ユーザーが開始したCreate要求の結果として検出または作成されたリソースは、要求について、ユーザーが指定したスコープに割り当てられます。例えば、「論理エンクロージャーの作成」要求時に作成された論理インターコネクトは、論理エンクロージャーと同じスコープに割り当てられます。
  • HPE OneViewによって自動で検出されたリソースはスコープに割り当てられません。必要に応じて、リソースを明示的にスコープに割り当てる必要があります。
    注記:

    ハードウェアセットアップユーザーに割り当てられた権限は、スコープによって制限されません。そのため、ハードウェアセットアップユーザーに明示的に追加されたリソース(ラックマウントサーバーなど)は、スコープに割り当てられません。