ポリシーの依存関係
目次
cminder140jp
目次
拡張ポリシー管理では、ポリシーがデプロイおよびデプロイ解除される順序を適用できます。
ポリシーの依存関係を使用すると、1 つまたは複数の他のポリシーに依存するポリシーを定義できます。ただし、依存先のポリシーがすべてデプロイされるまで依存関係のあるポリシーをデプロイすることはできません。同様に、依存関係にある 1 つまたは複数のポリシーがデプロイされている場合、前提条件のポリシーをデプロイ解除することはできません。
ポリシーの依存関係は、ポリシーを作成または変更するときに定義します。
ポリシー検証
ポリシー検証が有効な場合、
Privileged Access Manager Server Control
はポリシーをデプロイする前にポリシーにエラーが含まれていないことを確認します。Privileged Access Manager Server Control
によってポリシー デプロイメント スクリプトにエラーが検出されると、そのポリシー スクリプトはエンドポイント上で実行されません。そのため、エラーが発生するポリシーはデプロイされず、エンドポイント上のスクリプト エラーがトレース可能になります。ポリシー検証は、デフォルトで無効になっています。ポリシー検証が有効ではなく、ポリシーのデプロイでエラーが発生した場合、他のコマンドではエラーが発生するにもかかわらず、ポリシー コマンドが実行可能な場合があります。
注:
ポリシー検証は Privileged Access Manager Server Control
データベース コマンド(AC 環境の selang コマンド)のみを確認します。ポリシー検証では、ネイティブ環境、設定環境、または Policy Model 環境のコマンドは確認しません。ポリシーに AC 環境および他の環境のコマンドが含まれている場合、ポリシー検証は AC 環境のコマンドのみを確認します。注:
ポリシー検証では、デプロイ解除スクリプトを確認できません。ポリシー検証の仕組み
ポリシー検証では、ポリシーが実際にエンドポイント上にデプロイされる前に、ポリシーがエラーなくデプロイできることを確認します。
.
注:
ポリシー検証はデフォルトでは有効になっていません。以下のプロセスでは、ポリシー検証の仕組みについて説明します。
- ポリシーをホストまたはホスト グループに割り当てます。
- 各エンドポイントで、Privileged Access Manager Server Controlエンタープライズ管理はポリシーを検証します。
- 以下のいずれかのイベントが発生します。
- ポリシーにエラーがない場合、Privileged Access Manager Server Controlエンタープライズ管理はポリシーをエンドポイントにデプロイします。エンドポイントは、ポリシー ステータスが「デプロイ済み」の DMS を更新します。
- ポリシー スクリプトにエラーがある場合、Privileged Access Manager Server Controlエンタープライズ管理はエンドポイントにポリシーをデプロイしません。エンドポイントは、ポリシー ステータスが「未実行」の DMS を更新します。また、DMS は、スクリプト エラーのあるポリシーに対応する各デプロイメント タスクのステータスを「失敗」に更新します。注:エラーのあるスクリプトを表示するには、Privileged Access Manager Server Controlエンタープライズ管理のデプロイメント監査機能を使用できます。
ポリシー検証の有効化
ポリシー検証では、ポリシーが実際にエンドポイント上にデプロイされる前に、ポリシーがエラーなくデプロイできることを確認します。
注:
ポリシー検証を有効にするには、policyfetcher セクションの policy_verification 環境設定値を「1」に設定します。注:
ポリシー検証が有効になります。変数を定義するポリシーの作成
変数を定義するポリシーを作成しデプロイすると、多くのエンドポイントで同じ変数を定義できます。
変数を定義するポリシーの作成方法
- 変数を定義する selang デプロイメント コマンドで、スクリプト ファイルを作成します。各変数を定義するために、以下の selang コマンドを使用します。editres ACVAR ("variable_name") value("variable_value")(オプション)変数を使用する selang コマンドをスクリプト ファイルに追加します。注:ポリシーの後続ルールで変数を参照する前に、ポリシーで各変数を定義する必要があります。変数の参照するには、「<!variable>」形式を使用します。
- ポリシーを DMS に保存します。
例: 変数を定義するポリシーの作成
この例では、以下のポリシーで、「/opt/jboss」という値を持つ「jboss_home」という名前の変数を定義し、ユーザ Mark に、JBoss を使用してアクセスする /opt ディレクトリ内の任意のリソースへのアクセスを許可するルールを作成します。
editres ACVAR ("jboss_home") value("/opt/jboss") authorize FILE /opt/* uid(Mark) access(all) via(pgm("<!jboss_home>/jboss"))
エンドポイントがポリシーをコンパイルすると、以下のルールを作成します。
authorize FILE /opt/* uid(Mark) access(all) via(pgm(/opt/jboss/jboss))
例: 複数の変数値を定義するポリシーの作成
以下のポリシーは、「jboss_home」という名前の変数を定義します。ポリシーは、「C:\JBoss」の値を持ち、C:\Program Files\JBoss 値を jboss_home 変数に追加し、アクセス ルールを作成します。
editres ACVAR ("jboss_home") value("C:\JBoss") editres ACVAR ("jboss_home") value+("C:\Program Files\JBoss") editres FILE ("<!jboss_home>\bin") defacc(none) audit(a)
エンドポイントがポリシーをコンパイルすると、以下のルールを作成します。
editres FILE ("C:\JBoss\bin") defacc(none) audit(a) editres FILE ("C:\Program Files\JBoss\bin") defacc(none) audit(a)
例: 変数を使用した、Windows と UNIX の両方のエンドポイントへの同じポリシーのデプロイ
以下の例では、Windows と UNIX で JBoss のインストール場所が異なっている場合でも、変数を使用して、同じ JBoss ポリシーを Windows と UNIX の両方のエンドポイントにデプロイする方法について説明します。この例は、各オペレーティング システムで JBoss のインストール場所を定義する 2 つの jboss_home 変数を定義します。
- 各オペレーティング システムで JBoss のインストール場所を定義する 2 つの jboss_home 変数を定義します。
- Windows での JBoss のインストール場所を定義するポリシーを作成し、作成したポリシーを Windows エンドポイントにデプロイします。editres ACVAR ("jboss_home") value("C:\JBoss")
- UNIX での JBoss のインストール場所を定義するポリシーを作成し、作成したポリシーを UNIX エンドポイントにデプロイします。editres ACVAR ("jboss_home") value("/opt/jboss")
- jboss_home 変数を使用して JBoss のインストール場所を保護するポリシーを作成し、作成したポリシーを Windows と UNIX のエンドポイントにデプロイします。editres FILE "<!jboss_home>" defacc(none) audit(all) When a Windows endpoint compiles the policy it creates the following rule:editres FILE "C:\JBoss" defacc(none) audit(all)When a UNIX endpoint compiles the policy it creates the following rule:editres FILE "/opt/jboss" defacc(none) audit(all)editres FILE "<!jboss_home>" defacc(none) audit(all)
- Windows エンドポイントがポリシーをコンパイルする場合、以下のルールを作成します。editres FILE "C:\JBoss" defacc(none) audit(all)
- UNIX エンドポイントがポリシーをコンパイルする場合、以下のルールを作成します。editres FILE "/opt/jboss" defacc(none) audit(all)
ポリシーに関連付けられたルールの表示
一旦ポリシーが DMS に格納されると、各ポリシー バージョンのデプロイ スクリプトおよびデプロイ解除スクリプトで、ルールを表示できます。
ポリシーに関連付けられたルールを表示するには、以下の手順に従います。
- Privileged Access Manager Server Controlエンタープライズ管理で、[ポリシー管理]、[ポリシー]サブタブを順にクリックし、左側のタスク メニューにある[デプロイ]ツリーを展開します。[ポリシー]タスクが表示されます。
- [ポリシーの表示]をクリックします。[ポリシーの表示: ポリシー検索]画面が表示されます。
- 検索範囲を定義して、[検索]をクリックします。定義した検索範囲と一致したポリシーのリストが表示されます。
- 表示するポリシーを選択し、[選択]をクリックします。[ポリシーの表示:policyName]ページが表示されます。さまざまなタブで、ポリシーのプロパティを参照できます。プロパティには、ポリシーの名前および説明、最新バージョンのデプロイメント スクリプトおよびデプロイメント解除スクリプト、このポリシーに存在するすべてのポリシー バージョンのリスト、ポリシーの作成および更新イベントに関する一般的な情報などが表示されます。
- [バージョン履歴]タブをクリックします。ポリシー バージョンのリストが表示されます。各バージョンには、デプロイおよびデプロイ解除スクリプトへのリンクが設定されています。
- 以下のいずれかの操作を行います。
- [デプロイ スクリプト]リンクをクリックします。デプロイ スクリプトを示すポップアップ ウィンドウが表示されます。
- [デプロイ解除スクリプト]リンクをクリックします。デプロイ解除スクリプトを示すポップアップ ウィンドウが表示されます。
注:
policydeploy ユーティリティを使用して、このタスクを実行することもできます。policydeploy ユーティリティの詳細については、「リファレンス ガイド
」を参照してください。ポリシーのインポート
ポリシーをインポートする場合、
Privileged Access Manager Server Control
エンタープライズ管理はローカル Privileged Access Manager Server Control
データベースまたは PMDB から selang ルールをエクスポートし、ルールが含まれているポリシーを作成し、DMS に格納します。これにより、1 つのエンドポイントを保護するルールを多数のエンドポイントを保護可能なポリシーに変換し、PMDB の拡張ポリシー管理への移行に役立ちます。注:
ルールのエクスポート元のエンドポイントまたは PMDB は、Privileged Access Manager Server Control
r12.0 以降がインストールされているホスト上にある必要があります。以前の Privileged Access Manager Server Control
バージョンからのポリシーをインポートするには、まず、エンドポイントをアップグレードします。ポリシーのインポート方法
- Privileged Access Manager Server Controlエンタープライズ管理で、以下のように操作します。
- [ポリシー管理]をクリックします。
- [ポリシー]サブタブをクリックします。
- 左側のタスク メニューで、[ポリシー]ツリーを展開します。[ポリシー インポート]タスクが使用可能なタスク リストに表示されます。
- [ポリシー インポート]をクリックします。[ホスト ログイン]ページが表示されます。
- ユーザ名、パスワード、およびルールのエクスポート元の PMDB またはホストの名前を入力し、[ログイン]をクリックします。注:PMDB 名は「PMDB 名@ホスト」形式で、たとえば「master_pmdb@example」のように指定します。[全般]タスク ステージに、ポリシー インポート プロセス ウィザードが表示されます。
- 以下のフィールドに入力し、[次へ]をクリックします。
- <Approver><User>Nameポリシーの名前を定義します。この名前は、DMS で一意(強制)、および企業内で一意(強制ではないが、同じ名前のポリシーが存在する場合はポリシーをホストにデプロイできなくなる)にする必要があります。
- 説明(オプション)ポリシーの役割説明(形式自由)を定義します。このフィールドを使用して、ポリシーの識別に役立つポリシーの目的およびその他の情報を記録します。
- Policy Classesそのルールをエクスポートしてポリシーに含めるクラスを指定します。[選択リスト]列でクラスを指定しない場合、すべてのクラスがエクスポートされ、ポリシーに含められます。
- 依存クラスのエクスポート[選択リスト]列で指定するクラスに依存するすべてのクラスのエクスポートを指定します。このオプションを選択しない場合、Privileged Access Manager Server Controlにより[選択リスト]列で指定したクラスのみがエクスポートされます。
- エクスポート済みルールを確認し、必要があれば変更して、[次へ]をクリックします。[サマリ]ステージが表示されます。
- [完了]をクリックします。ポリシーが作成されます。