参照リスト用にデータ RBAC を構成する
このページでは、データのロールベース アクセス制御(データ RBAC)の管理者とユーザーが参照リストにスコープを割り当てる方法について説明します。参照リストは、UDM 検索と検出ルールでデータの照合とフィルタリングに使用される値(IP アドレスなど)のリストです。参照リストにスコープを割り当てることで、どのユーザーとリソース(ルールや UDM 検索インスタンスなど)が参照リストにアクセスして使用できるかを制御できます。
データ RBAC の仕組みについては、データ RBAC の概要をご覧ください。
参照リストにスコープを追加する
参照リストにスコープを追加するには、追加するすべてのスコープにアクセスできる必要があります。アクセス権のないスコープを追加することはできません。
スコープ設定されたユーザーとグローバル ユーザーには、次の違いがあるアクセス権があります。
スコープ設定されたユーザーは、割り当てられているスコープのすべてまたは一部を使用して、スコープ設定された参照リストを作成できます。
グローバル ユーザーは、スコープ設定されていない参照リスト(すべてのユーザーが使用できる参照リスト)またはスコープ設定された参照リストを作成できます。
スコープを参照リストに追加する手順は次のとおりです。
[検出] > [リスト] をクリックします。
[リスト マネージャー] ウィンドウで、スコープを追加するリストを選択します。
[詳細] タブの [スコープの割り当て] メニューで、参照リストがアクセスする必要があるスコープをすべて選択します。
[編集内容を保存] をクリックします。
スコープが参照リストに追加されます。
参照リストのスコープを更新する
参照リスト内のスコープを更新するには、参照リストに追加するすべてのデータスコープにアクセスできる必要があります。アクセス権のないスコープを追加することはできません。
参照リストを更新する際は、次の点を考慮する必要があります。
参照リストからスコープを削除できるのは、参照リストを使用する既存のルールがすべて変更後も機能する場合のみです。
たとえば、スコープ B のルールが参照リストを使用している場合、スコープ A と B からスコープ A への参照リストの更新は許可されません。同様に、スコープなしからスコープ A への参照リストの更新は、スコープ B のルールで参照リストが使用されている場合、許可されません。
スコープ設定されたユーザーは参照リストからスコープを削除できます。これにより、別のスコープ設定されたユーザーが参照リストにアクセスできなくなる可能性があります。
たとえば、スコープ A と B を持つユーザーは、スコープ A と B を含む参照リストからスコープ B を削除できます。この変更後、ユーザーは引き続き参照リストを使用できますが、スコープ B のみを持つ別のユーザーは、もう参照リストを表示またはアクセスできなくなります。
スコープを更新してスコープを追加すると、一部のユーザーが参照リストの編集アクセス権を失う可能性があります。
たとえば、スコープ A と B を持つユーザーは、スコープ A を含む参照リストにスコープ B を追加できます。この変更後、ユーザーは引き続き参照リストを編集できますが、スコープ A のみを持つ別のユーザーはもう参照リストを編集できなくなります。
参照リスト内のスコープを更新する手順は次のとおりです。
[検出] > [リスト] をクリックします。
[リスト マネージャー] ウィンドウで、スコープを追加するリストを選択します。
[詳細] タブの [スコープの割り当て] メニューで、参照リストがアクセスする必要があるスコープをすべて選択します。参照リストにアクセス権を付与しないスコープの選択を解除します。
[編集内容を保存] をクリックします。
参照リストのスコープの割り当てが更新されます。