ユーザ ロールおよび権限の特定
PAM では、事前設定済みのユーザ ロールのセットが提供されています。利用可能なユーザ権限のセットから自分のロールを設定することもできます。
capam40
Privileged Access Manager
では、事前設定済みのユーザ ロールのセットが提供されています。利用可能なユーザ権限のセットから自分のロールを設定することもできます。2
事前定義済みロール
この製品では、事前定義済みの 21 のロールのセットが提供されています。これらのロールを表示するには、
[ユーザ]
-[ロール管理]
を選択します。このセットは、さまざまな一般的なアクティビティを実行するのに必要な権限を含んでいます。ロールは、ユーザおよびユーザ グループに対して、その作成および編集の間に割り当てられます。詳細については、「ユーザのプロビジョニング」を参照してください。
監査管理者
ユーザに管理ページ(サービス、ユーザ、デバイス、ポリシー)の読み取り専用アクセスを許可します。
権限:
servicesRead、usersRead、userGroupRead、socketFilterAgentRead、devicesRead、deviceGroupRead、policyRead、socketFiltersRead、commandFiltersRead、rolesRead
監査担当者
ユーザが
PAM
ログ、セッション記録、およびレポート データを表示できるようにします。監査担当者には、ログ データに影響を与える設定を調査するための、全体設定への読み取り専用アクセス権があります。権限:
overviewRead、loggingAll、sessionRecordingRead、globalSettingsRead
自動ディスカバリ
ユーザがオート ディスカバリ機能を使用してネットワーク デバイスを検索できるようにします。
権限:
autodiscovery
AWS API プロキシ ユーザ
ユーザのログイン、アクセス ページの選択、および AWS API プロキシへのリモート アクセスを許可します。
権限:
accessAll、awsApiProxy、manageAll
CA TAP API ユーザ
CA Threat Analytics が外部 API を使用するために必要なすべての権限。
権限:
accessAll、BAPApiManage、devicesRead、usersRead、sessionManage
環境設定マネージャ
ユーザが[全体設定]を行い、すべての[設定]タブにアクセスできるようにします。
権限:
globalSettingsRead、globalSettingsManage、configurationManage
委任管理者
すべてのユーザ、デバイス、および Policy Manager のタスクを実行する権限をユーザに与える、統合されたユーザ ロールです。
権限:
usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage
デバイスおよびデバイス グループ マネージャ
ユーザにすべてのデバイス タイプの読み取り、作成、更新、および削除を許可します。
権限:
socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate
グローバル管理者
すべてへのアクセスと、すべての
Privileged Access Manager
機能の設定を許可します。権限:
accessAll、manageAll、monitorAll、sessionRead、sessionManage、overviewRead、toolsAll、loggingAll、sessionRecordingRead、globalSettingsRead、globalSettingsManage、servicesRead、servicesManage、servicesDelete、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage、policyImport、policyExport、configurationManage、rolesRead、autodiscovery、credentialsManage
全体設定担当者
ユーザが[全体設定]を行うことを許可します。
権限:
globalSettingsRead、globalSettingsManage
管理コンソール API ユーザ
CA 管理コンソール API (内部使用限定)へのユーザ アクセスを許可します。
権限:
managementConsole
監視
デバイスをモニタすることを許可します。
権限:
monitorAll
運用管理者
設定管理なしですべての
PAM
管理機能へのアクセスを許可します。権限:
accessAll、manageAll、monitorAll、sessionRead、sessionManage、overviewRead、toolsAll、loggingAll、sessionRecordingRead、globalSettingsRead、globalSettingsManage、servicesRead、servicesManage、servicesDelete、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage、policyImport、policyExport、rolesRead、autodiscovery、credentialsManage
パスワード マネージャ
ユーザにパスワード管理の設定を許可します。
権限:
credentialsManage
Policy Manager
ユーザに、すべてのポリシー、ソケットとコマンドのフィルタ、およびエージェントの、読み取り、作成、更新、および削除を許可します。
権限:
socketFilterAgentRead、socketFilterAgentDelete、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage
Server Control 管理者
Server Control および UNAB ポリシー管理機能へのアクセスをユーザに許可します。
権限:
devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、deviceGroupDelete、deviceGroupAdd、loggingAll、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、userGroupDelete、userGroupAdd、devicesRead、deviceGroupRead、servercontrolPolicyManage、servercontrolPolicyRead、servercontrolPolicyDeploy、servercontrolPolicyDeployRead、UNABManage、servercontrolPolicyAuditRead
Server Control 展開マネージャ
割り当て、割り当て解除、アップグレード、ダウングレードなど、ポリシー デプロイ機能にフル アクセスできます。サーバ制御ポリシーおよびデバイス/デバイス グループには読み取り専用アクセスです。
権限:
devicesRead、deviceGroupRead、servercontrolPolicyDeploy、servercontrolPolicyRead、servercontrolPolicyDeployRead、servercontrolPolicyAuditRead
Server Control ポリシー エディタ
Server Control ポリシーの作成、更新、バージョン、ファイナライズの各操作にユーザがフル アクセスできます。ポリシー デプロイメントおよびデプロイメント監査の機能への読み取り専用アクセス、およびデバイス/デバイス グループへの読み取り専用アクセス。
注:
このロールは、割り当て/割り当て解除、アップグレード、ダウングレードなどの SC ポリシー管理操作を実行できないように制限されています。このロールは、UNAB 操作も実行できないようにも制限されています。権限:
servercontrolPolicyManage
サービス マネージャ
ユーザにサービスの読み取り、作成、更新、および削除を許可します。
権限:
servicesRead、servicesManage、servicesDelete
セッション マネージャ
ユーザに
PAM
ログインおよびリモート アクセスの表示と停止を許可します。権限:
sessionRead、sessionManage
標準ユーザ
ユーザにリモート デバイスのアクセスと管理を許可します。
権限:
accessAll、manageAll
トラブルシューティング担当者
ユーザに[設定]-[ツール]ページへのアクセスを許可します。
権限:
toolsAll
ターゲット コネクタの検証機能
ターゲット コネクタ フレームワークの検証機能を表示および使用できます。この検証機能では、カスタム ターゲット コネクタのページをレンダリングする、JSON ファイルの UI 定義を調査します。
権限:
validateTargetConnectorUI
UNAB マネージャ
UNAB ホスト ログイン ポリシー管理と、デバイスおよびデバイス グループの UNAB 設定トークン管理にフル アクセスできます。
権限:
devicesRead、UNABManage、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、deviceGroupDelete、deviceGroupAdd、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、userGroupDelete、userGroupAdd、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、userGroupDelete、userGroupAdd
ユーザおよびユーザ グループのマネージャ
ユーザにすべてのユーザ タイプの読み取り、作成、更新、および削除を許可します。
権限:
usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval
VMware NSX API プロキシ ユーザ
ユーザのログイン、アクセス ページの選択、および VMware NSX API プロキシへのリモート アクセスを許可します。
権限:
accessAll、manageAll、nsxApiProxy
権限の定義
事前定義済みロールのセットに加えて、管理者はカスタム ロールを作成することもできます。ロールは、以下の表に記載された権限リストから選択して作成します。
ロール権限 | 可能なアクション |
標準ユーザ | |
accessAll | アクセス ページを使用してリモート マシンに接続する。 |
manageAll | デバイスの管理ページを使用して、リモート マシンのパワー サイクリングなどのアクションを実行する。 |
モニタリング | |
monitorAll | モニタ ページを使用して、リモート デバイスのステータスを表示する。 |
セッション | |
sessionRead | セッション/ログインの管理のページを閲覧する。 |
sessionManage | セッション/ログインの管理のページを使用して、セッションおよびログインを終了する。 |
overviewRead | デバイス、帯域外デバイス、および接続を確認する。 |
ツール | |
toolsAll | Ping や Traceroute などの設定ツールを使用する。 |
validateTargetConnectorUI | TCF カスタム コネクタに対してターゲット コネクタの検証機能を使用する。 |
ログ/記録 | |
loggingAll | ログ ページを閲覧し、レポートを実行する。 |
sessionRecordingRead | セッション記録を再生する。 |
全体設定 | |
globalSettingsRead | グローバル設定の参照 |
globalSettingsManage | 全体設定を変更する。 |
サービス | |
servicesRead | すべてのタイプ(TCP、RDP アプリケーション)のすべてのサービスの詳細を参照する。 |
servicesManage | すべてのタイプ(TCP、RDP アプリケーション)の任意の既存サービスを追加または変更する。 |
servicesDelete | すべてのタイプの任意の既存サービスを削除する。 |
ユーザ | |
usersRead | すべてのユーザの詳細を参照する。ユーザのエクスポートを許可する。 |
usersManage | ユーザの作成または変更を行う(エクスポートを含む)。ユーザのインポートを許可する。 |
usersDelete | LDAP ユーザではない任意のユーザを削除する。 |
usersAssign | ユーザをユーザ グループに割り当てる、またはユーザ グループをユーザに割り当てる。 |
userGroupRead | ユーザ グループの詳細を参照する。 |
userGroupUpdate | 既存のユーザ グループを変更するが、メンバシップは変更しない。 |
cacUserApproval | CAC ユーザ候補を承認する。 |
rolesRead | ロールおよび権限の定義の読み取り。 |
ソケット フィルタ | |
socketFilterAgentRead | ソケット フィルタ エージェントを表示する。 |
socketFilterAgentDelete | ソケット フィルタ エージェントを削除する。 |
socketFiltersRead | ソケット フィルタ リストおよび設定の参照。 |
socketFiltersManage | ソケット フィルタ リストおよび設定の変更または削除。 |
デバイス | |
devicesRead | パワー ホストおよびコンソールを含む、すべてのデバイスの詳細を参照する。エクスポートの許可。 |
devicesManage | デバイスとそのメンバシップの作成および変更。インポートの許可。 |
devicesDelete | 任意のデバイスを削除する。 |
devicesAssign | デバイスをデバイス グループに、またはデバイス グループをデバイスに割り当てる。 |
deviceGroupRead | デバイス グループの詳細を参照する。 |
deviceGroupUpdate | 既存のデバイス グループを変更するが、メンバシップは変更しない。 |
自動ディスカバリ | ネットワーク上のデバイスを見つける。 |
ポリシー | |
policyRead | ポリシーの参照。エクスポートは許可しない。 |
policyManage | ポリシーの変更または削除。インポートは許可しない。 |
policyImport | すべての種類の関連付けのインポート。 |
policyExport | すべての種類の関連付けのエクスポート。 |
コマンド フィルタ | |
commandFiltersRead | コマンド記録のリストおよび設定の参照。 |
commandFiltersManage | コマンド フィルタ リストおよび設定の変更または削除。 |
設定 | |
configurationManage | アクセス設定タブの使用。 |
パスワード | |
credentialsManage | パスワード連鎖の認証情報定義の作成および更新。 |
API | |
awsApiProxy | AWS (Amazon Web Services) API プロキシへのアクセスを許可します。 |
BAPApiManage | CA Threat Analytics API を管理します。 |
managementConsole | 管理コンソール API を管理します。 |
nsxApiProxy | VMware NSX API プロキシへのアクセスを許可します。 |
Server Control および UNAB ポリシー | |
servercontrolPolicyManage | Server Control ポリシーとそのバージョンを読み取り、作成、更新、コピー、ファイナライズ、および削除します。 |
servercontrolPolicyRead | Server Control ポリシーとそのバージョンに対する読み取り専用アクセスを提供します。 |
servercontrolPolicyDeploy | 割り当て、割り当て解除、アップグレード、ダウングレードなどの Server Control ポリシーのデプロイメント操作にアクセスできます。 |
servercontrolPolicyDeployRead | Server Control ポリシー、デバイス、デバイス グループの割り当てなど、ポリシーのデバイスとデバイス グループの割り当てを表示するためのアクセスを提供します。 |
UNABManage | UNAB ホスト ログイン ポリシーの読み取り、作成、更新、コピー、削除など UNAB 操作へのアクセスと、デバイスやデバイス グループ上の UNAB 設定トークンの読み取り、作成、更新、削除など UNAB 設定トークン管理へのアクセスを提供します。 |
servercontrolPolicyAuditRead | Server Control デプロイメント監査ログ エントリの読み取りアクセスを提供します。 |