ユーザ ロールおよび権限の特定

PAM では、事前設定済みのユーザ ロールのセットが提供されています。利用可能なユーザ権限のセットから自分のロールを設定することもできます。
capam40
Privileged Access Manager
 では、事前設定済みのユーザ ロールのセットが提供されています。利用可能なユーザ権限のセットから自分のロールを設定することもできます。
2
事前定義済みロール
この製品では、事前定義済みの 21 のロールのセットが提供されています。これらのロールを表示するには、
[ユーザ]
-
[ロール管理]
を選択します。このセットは、さまざまな一般的なアクティビティを実行するのに必要な権限を含んでいます。
ロールは、ユーザおよびユーザ グループに対して、その作成および編集の間に割り当てられます。詳細については、「ユーザのプロビジョニング」を参照してください。
監査管理者
ユーザに管理ページ(サービス、ユーザ、デバイス、ポリシー)の読み取り専用アクセスを許可します。
権限:
servicesRead、usersRead、userGroupRead、socketFilterAgentRead、devicesRead、deviceGroupRead、policyRead、socketFiltersRead、commandFiltersRead、rolesRead
監査担当者
ユーザが
PAM
ログ、セッション記録、およびレポート データを表示できるようにします。監査担当者には、ログ データに影響を与える設定を調査するための、全体設定への読み取り専用アクセス権があります。
権限:
overviewRead、loggingAll、sessionRecordingRead、globalSettingsRead
自動ディスカバリ
ユーザがオート ディスカバリ機能を使用してネットワーク デバイスを検索できるようにします。
権限:
autodiscovery
AWS API プロキシ ユーザ
ユーザのログイン、アクセス ページの選択、および AWS API プロキシへのリモート アクセスを許可します。
権限:
accessAll、awsApiProxy、manageAll
CA TAP API ユーザ
CA Threat Analytics が外部 API を使用するために必要なすべての権限。
権限:
accessAll、BAPApiManage、devicesRead、usersRead、sessionManage
環境設定マネージャ
ユーザが[全体設定]を行い、すべての[設定]タブにアクセスできるようにします。
権限:
globalSettingsRead、globalSettingsManage、configurationManage
委任管理者
すべてのユーザ、デバイス、および Policy Manager のタスクを実行する権限をユーザに与える、統合されたユーザ ロールです。
権限:
usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage
デバイスおよびデバイス グループ マネージャ
ユーザにすべてのデバイス タイプの読み取り、作成、更新、および削除を許可します。
権限:
socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate
グローバル管理者
すべてへのアクセスと、すべての
Privileged Access Manager
機能の設定を許可します。
権限:
accessAll、manageAll、monitorAll、sessionRead、sessionManage、overviewRead、toolsAll、loggingAll、sessionRecordingRead、globalSettingsRead、globalSettingsManage、servicesRead、servicesManage、servicesDelete、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage、policyImport、policyExport、configurationManage、rolesRead、autodiscovery、credentialsManage
全体設定担当者
ユーザが[全体設定]を行うことを許可します。
権限:
globalSettingsRead、globalSettingsManage
管理コンソール API ユーザ
CA 管理コンソール API (内部使用限定)へのユーザ アクセスを許可します。
権限:
managementConsole
監視
デバイスをモニタすることを許可します。
権限:
monitorAll
運用管理者
設定管理なしですべての
PAM
管理機能へのアクセスを許可します。
権限:
accessAll、manageAll、monitorAll、sessionRead、sessionManage、overviewRead、toolsAll、loggingAll、sessionRecordingRead、globalSettingsRead、globalSettingsManage、servicesRead、servicesManage、servicesDelete、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval、socketFilterAgentRead、socketFilterAgentDelete、devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage、policyImport、policyExport、rolesRead、autodiscovery、credentialsManage
パスワード マネージャ
ユーザにパスワード管理の設定を許可します。
権限:
credentialsManage
Policy Manager
ユーザに、すべてのポリシー、ソケットとコマンドのフィルタ、およびエージェントの、読み取り、作成、更新、および削除を許可します。
権限:
socketFilterAgentRead、socketFilterAgentDelete、policyRead、policyManage、socketFiltersRead、socketFiltersManage、commandFiltersRead、commandFiltersManage
Server Control 管理者
Server Control および UNAB ポリシー管理機能へのアクセスをユーザに許可します。
権限:
devicesRead、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、deviceGroupDelete、deviceGroupAdd、loggingAll、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、userGroupDelete、userGroupAdd、devicesRead、deviceGroupRead、servercontrolPolicyManage、servercontrolPolicyRead、servercontrolPolicyDeploy、servercontrolPolicyDeployRead、UNABManage、servercontrolPolicyAuditRead
Server Control 展開マネージャ
割り当て、割り当て解除、アップグレード、ダウングレードなど、ポリシー デプロイ機能にフル アクセスできます。サーバ制御ポリシーおよびデバイス/デバイス グループには読み取り専用アクセスです。
権限:
devicesRead、deviceGroupRead、servercontrolPolicyDeploy、servercontrolPolicyRead、servercontrolPolicyDeployRead、servercontrolPolicyAuditRead
Server Control ポリシー エディタ
Server Control ポリシーの作成、更新、バージョン、ファイナライズの各操作にユーザがフル アクセスできます。ポリシー デプロイメントおよびデプロイメント監査の機能への読み取り専用アクセス、およびデバイス/デバイス グループへの読み取り専用アクセス。
注:
このロールは、割り当て/割り当て解除、アップグレード、ダウングレードなどの SC ポリシー管理操作を実行できないように制限されています。このロールは、UNAB 操作も実行できないようにも制限されています。
権限:
servercontrolPolicyManage
サービス マネージャ
ユーザにサービスの読み取り、作成、更新、および削除を許可します。
権限:
servicesRead、servicesManage、servicesDelete
セッション マネージャ
ユーザに
PAM
ログインおよびリモート アクセスの表示と停止を許可します。
権限:
sessionRead、sessionManage
標準ユーザ
ユーザにリモート デバイスのアクセスと管理を許可します。
権限:
accessAll、manageAll
トラブルシューティング担当者
ユーザに[設定]-[ツール]ページへのアクセスを許可します。
権限:
toolsAll
ターゲット コネクタの検証機能
ターゲット コネクタ フレームワークの検証機能を表示および使用できます。この検証機能では、カスタム ターゲット コネクタのページをレンダリングする、JSON ファイルの UI 定義を調査します。
権限:
validateTargetConnectorUI
UNAB マネージャ
UNAB ホスト ログイン ポリシー管理と、デバイスおよびデバイス グループの UNAB 設定トークン管理にフル アクセスできます。
権限:
devicesRead、UNABManage、devicesManage、devicesDelete、devicesAssign、deviceGroupRead、deviceGroupUpdate、deviceGroupDelete、deviceGroupAdd、usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、userGroupDelete、userGroupAdd、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、userGroupDelete、userGroupAdd
ユーザおよびユーザ グループのマネージャ
ユーザにすべてのユーザ タイプの読み取り、作成、更新、および削除を許可します。
権限:
usersRead、usersManage、usersDelete、usersAssign、userGroupRead、userGroupUpdate、cacUserApproval
VMware NSX API プロキシ ユーザ
ユーザのログイン、アクセス ページの選択、および VMware NSX API プロキシへのリモート アクセスを許可します。
権限:
accessAll、manageAll、nsxApiProxy
権限の定義
事前定義済みロールのセットに加えて、管理者はカスタム ロールを作成することもできます。ロールは、以下の表に記載された権限リストから選択して作成します。
ロール権限
可能なアクション
標準ユーザ
accessAll
アクセス ページを使用してリモート マシンに接続する。
manageAll
デバイスの管理ページを使用して、リモート マシンのパワー サイクリングなどのアクションを実行する。
モニタリング
monitorAll
モニタ ページを使用して、リモート デバイスのステータスを表示する。
セッション
sessionRead
セッション/ログインの管理のページを閲覧する。
sessionManage
セッション/ログインの管理のページを使用して、セッションおよびログインを終了する。
overviewRead
デバイス、帯域外デバイス、および接続を確認する。
ツール
toolsAll
Ping や Traceroute などの設定ツールを使用する。
validateTargetConnectorUI
TCF カスタム コネクタに対してターゲット コネクタの検証機能を使用する。
ログ/記録
loggingAll
ログ ページを閲覧し、レポートを実行する。
sessionRecordingRead
セッション記録を再生する。
全体設定
globalSettingsRead
グローバル設定の参照
globalSettingsManage
全体設定を変更する。
サービス
servicesRead
すべてのタイプ(TCP、RDP アプリケーション)のすべてのサービスの詳細を参照する。
servicesManage
すべてのタイプ(TCP、RDP アプリケーション)の任意の既存サービスを追加または変更する。
servicesDelete
すべてのタイプの任意の既存サービスを削除する。
ユーザ
usersRead
すべてのユーザの詳細を参照する。ユーザのエクスポートを許可する。
usersManage
ユーザの作成または変更を行う(エクスポートを含む)。ユーザのインポートを許可する。
usersDelete
LDAP ユーザではない任意のユーザを削除する。
usersAssign
ユーザをユーザ グループに割り当てる、またはユーザ グループをユーザに割り当てる。
userGroupRead
ユーザ グループの詳細を参照する。
userGroupUpdate
既存のユーザ グループを変更するが、メンバシップは変更しない。
cacUserApproval
CAC ユーザ候補を承認する。
rolesRead
ロールおよび権限の定義の読み取り。
ソケット フィルタ
socketFilterAgentRead
ソケット フィルタ エージェントを表示する。
socketFilterAgentDelete
ソケット フィルタ エージェントを削除する。
socketFiltersRead
ソケット フィルタ リストおよび設定の参照。
socketFiltersManage
ソケット フィルタ リストおよび設定の変更または削除。
デバイス
devicesRead
パワー ホストおよびコンソールを含む、すべてのデバイスの詳細を参照する。エクスポートの許可。
devicesManage
デバイスとそのメンバシップの作成および変更。インポートの許可。
devicesDelete
任意のデバイスを削除する。
devicesAssign
デバイスをデバイス グループに、またはデバイス グループをデバイスに割り当てる。
deviceGroupRead
デバイス グループの詳細を参照する。
deviceGroupUpdate
既存のデバイス グループを変更するが、メンバシップは変更しない。
自動ディスカバリ
ネットワーク上のデバイスを見つける。
ポリシー
policyRead
ポリシーの参照。エクスポートは許可しない。
policyManage
ポリシーの変更または削除。インポートは許可しない。
policyImport
すべての種類の関連付けのインポート。
policyExport
すべての種類の関連付けのエクスポート。
コマンド フィルタ
commandFiltersRead
コマンド記録のリストおよび設定の参照。
commandFiltersManage
コマンド フィルタ リストおよび設定の変更または削除。
設定
configurationManage
アクセス設定タブの使用。
パスワード
credentialsManage
パスワード連鎖の認証情報定義の作成および更新。
API
awsApiProxy
AWS (Amazon Web Services) API プロキシへのアクセスを許可します。
BAPApiManage
CA Threat Analytics API を管理します。
managementConsole
管理コンソール API を管理します。
nsxApiProxy
VMware NSX API プロキシへのアクセスを許可します。
Server Control および UNAB ポリシー
servercontrolPolicyManage
Server Control ポリシーとそのバージョンを読み取り、作成、更新、コピー、ファイナライズ、および削除します。
servercontrolPolicyRead
Server Control ポリシーとそのバージョンに対する読み取り専用アクセスを提供します。
servercontrolPolicyDeploy
割り当て、割り当て解除、アップグレード、ダウングレードなどの Server Control ポリシーのデプロイメント操作にアクセスできます。
servercontrolPolicyDeployRead
Server Control ポリシー、デバイス、デバイス グループの割り当てなど、ポリシーのデバイスとデバイス グループの割り当てを表示するためのアクセスを提供します。
UNABManage
UNAB ホスト ログイン ポリシーの読み取り、作成、更新、コピー、削除など UNAB 操作へのアクセスと、デバイスやデバイス グループ上の UNAB 設定トークンの読み取り、作成、更新、削除など UNAB 設定トークン管理へのアクセスを提供します。
servercontrolPolicyAuditRead
Server Control デプロイメント監査ログ エントリの読み取りアクセスを提供します。