Prism Centralにおけるロールについて

2024年10月28日

Prism Centralにおけるロールについて

こんにちは、双日テックイノベーションの 常盤と申します。
今回はPrism Centralのロールベースアクセス制御における「ロール」について紹介いたします。
「ロール」を利用することで、ユーザーに適切な権限を付与が可能となり、ユーザー利用をよりセキュアにすることが可能となります。

ロールとは?

Nutanix Prism Self Service 『構築編』にてロールの概要について簡単に紹介いたしました 。今回はより詳細な内容を解説いたします。

Prism Centralではロールベースアクセス制御(RBAC)を使用して、ユーザーアクセス制御を行うことができます。
「ロール」はユーザーに対して管理者が割り当てる複数の権限グループ化したものを 指します。
ロールを用いることで、ユーザー にアクセス先を制御させることができます。
ユーザーの役割に応じた ロールを割り当てることで、よりセキュアにPrism Centralを使用することができます。

また、ロールは必要とするアクセスが同じであれば、複数のユーザーに割り当てることができます。
例えばPrism SelfService (PSS)を使用する場合、プロジェクト単位でユーザーを管理します。
この時ロールをユーザーに付与することで、必要なリソースへのアクセスが可能となります。
ロールは 複数ユーザーに付与することが可能な為、下記図のように異なるプロジェクトのユーザーに対して 割り当てることでロール の作成を最小限にすることができます。
これにより多数のロールを管理する必要がなく、ロールの管理自体も容易になります。

 プロジェクトへの ロール割り当てイメージ 

ビルトインロールとカスタムロールについて

ロールにはデフォルトロールとカスタムロールの2種類存在します
それぞれは以下のような違いがあります。

  • ビルトインロール
  • ⇒複数の権限を組み合わせたデフォルトで存在するロール ※編集不可 Nutanix公式ドキュメント: ビルトインロールの管理
  • カスタムロール
  • ⇒1つ以上の権限を組み合わせることで作成可能なロール ※AHVのみ利用可能
    Nutanix公式ドキュメント: カスタムロール権限

    ビルトインロールとカスタムロールでは以下のような違いがあります。
    ビルトインロールはロール内の権限に融通が利かない点があるが一から作成する必要がない。 カスタムロールは一から作成する必要があるが必要な権限のみでロールを構成可能がある。
    このような違いがある為、それぞれの用途に合ったロールを利用していく必要があります。

    適切なロールについて

    ユーザーに対してロールを割り当てる場合、必要な権限のみで構成されたロールを利用されたいかと思われます。
    不要な権限があると本来想定していない操作をユーザーに許可させてしまうことが考えられます。
    カスタムロールを利用することで必要な権限でロールを構成することができます。
    ただカスタムロールを作成するだけではあまり意味がなく、「権限毎に操作可能な範囲」について気を付ける必要があります。

    理由としては一つの権限のみでは実現したいロールを作成することが難しい場合が 考えられるためです。

    例としてVMを作成することが出来る権限を割り当てるロール を作成するとします。
    カスタムロールでは権限オプションを選択できます。
    VMの作成を許可する権限は下図のVMエンティティ内の「Full Access」に含まれています。
    ただ、これを選択するだけではVMを作成することは出来ません。
    VMを作成するにあたりアクセスする必要があるものとして、以下4点があります。
    ・OSイメージ
    ・ネットワーク
    ・ストレージ(ディスク)
    ・展開先クラスタ

    上記の内OSイメージへのアクセス権限はVMエンティティ内には含まれていません。
    そのため、OSイメージへアクセス を許可させる為に、下図の「Image」から「View Only」 オプションを追加で選択する必要があります。
    これらの権限をロールに追加することで、 仮想マシン作成用のロールとして利用することが出来るようになります。
    このように考慮すべき権限があることを考慮に入れた上で、必要なロールを用意する必要があります。
    今回は仮想マシン作成を例にしましたが、実際は複数操作が可能なロールを作成することが想定されます。
    その際はより多くの操作権限を組み合わせることになるため、その操作を行う際に必要な権限が不足していないかを確認した上でロールを作成する必要があります。

    まとめ

    Prism Centralにおける「ロール」はユーザーのアクセス制御で利用する機能です。
    ロールは複数ユーザーに割り当てることが可能な為、ロールを多数用意する必要なくPrism Centralでの管理を容易になります。
    また、ロールには2種類(ビルトインロール/カスタムロール)あり、それぞれ考慮すべき点が存在します。
    より詳細なロールが必要な場合、カスタムロールを使用するのがおすすめです。
    ただ、必要な権限が不足すると想定した動作とならないので、想定したアクセス制御を行うにはどのような権限と必要とするかを考慮していく必要があります。