アクセスの制限

ドメイン別にアクセスを制限する

制限付きセキュリティドメインを使用すると、テナント A などのファブリック管理者は、両方のグループのユーザーに同じ権限が割り当てられている場合、あるユーザーグループがテナント B などの別のセキュリティドメインのユーザーグループによって作成されたオブジェクトを表示または変更できないようにすることができます。たとえば、テナント A の制限付きセキュリティドメインのテナント管理者は、テナント B のセキュリティドメインで構成されたポリシー、プロファイル、またはユーザーを表示できません。テナント B のセキュリティドメインも制限されていない限り、テナント B は、テナント A で設定されたポリシー、プロファイル、またはユーザーを表示できます。ユーザーが適切な権限を持つシステム作成の構成に対して、ユーザーは常に読み取り専用で閲覧可能であることに注意してください。

たとえば、制限付きセキュリティドメインのユーザーがテナント A に関連付けられているとします。テナント A には、ユーザーが作成したアプリケーションプロファイル 1 と管理者が作成したアプリケーションプロファイル 2 の 2 つのアプリケーションプロファイルが含まれています。アプリケーションプロファイル 2 も同じテナントのものですが、ユーザーはアプリケーションプロファイル 1 しか表示できません。ユーザーが制限付きセキュリティドメインにいる場合、管理者によって作成されたプロファイルも表示されません。

上記の例では、アプリケーションプロファイル 2 は別のユーザー（管理者）によって作成されていますが、制限のないユーザー（制限付きのセキュリティドメインに属していないユーザー）は、アプリケーションプロファイル 1 とアプリケーションプロファイル 2 の両方を表示できます。

RBAC ルール

Cloud Application Policy Infrastructure Controller (cAPIC) では、ロールベースアクセスコントロール（RBAC）を介してユーザーのロールに従ってアクセスが提供されます。ファブリックユーザーは以下に関連付けられています。

ロールのセット
ロールごとの権限タイプ：アクセスなし、読み取り専用、または読み取り/書き込み
ユーザがアクセスできる管理情報ツリー (MIT) の一部を識別する 1 つ以上のセキュリティドメインタグ

Cloud APIC は、管理対象オブジェクト（MO）レベルでアクセス権限を管理します。権限は、システム内の特定の機能に対するアクセスを許可または制限する MO です。たとえば、ファブリック機器は権限ビットです。このビットは、物理ファブリックの機器に対応するすべてのオブジェクト上で cAPIC によって設定されます。

ロールは権限ビットの集合です。たとえば、「管理者」ロールが「ファブリック機器」と「テナントセキュリティ」に対する権限ビットに設定されていると、「管理者」ロールにはファブリックの機器とテナントセキュリティに対応するすべてのオブジェクトへのアクセス権があります。

セキュリティドメインは、 cAPIC オブジェクト階層の特定のサブツリーに関連付けられたタグです。たとえば、デフォルトのテナント「common」にはドメインタグ common が付いています。同様に、特殊なドメインタグ all の場合、MIT オブジェクトツリー全体が含まれます。管理者は、MIT オブジェクト階層にカスタムドメインタグを割り当てることができます。

ユーザを作成してロールを割り当てても、アクセス権は有効になりません。1 つ以上のセキュリティドメインにそのユーザを割り当てることも必要です。デフォルトでは、cAPIC ファブリックには事前作成された次の 2 つの特殊なドメインが含まれています。

All：MIT 全体へのアクセスを許可
インフラ：ファブリックアクセスポリシーなどの、ファブリックインフラストラクチャのオブジェクトおよびサブツリーへのアクセスを許可

Cisco Cloud APIC は、次の AAA ロールと権限をサポートしています。


特権	説明
ロール：管理
admin	すべてのファブリックの機能へのフルアクセスを提供します。管理者権限は、その他のすべての権限を組み合わせたものとみなされます。
ロール：aaa
aaa	ポリシーの認証、許可、アカウンティング、インポート/エクスポートの設定に使用されます。
Role: access-admin
access-connectivity	インフラでのレイヤ 1 ～ 3 の構成、テナントの L3Out でのスタティックルート構成、管理インフラポリシー、テナント ERSPAN ポリシーに使用されます。
access-equipment	アクセスポート設定に使用されます。
access-protocol	インフラストラクチャ、NTP、SNMP、DNS、およびイメージ管理用のファブリック全体のポリシー、およびクラスタポリシーやファームウェアポリシーなどの操作関連のアクセスポリシーでレイヤ 1 ～ 3 のプロトコル構成に使用されます。
access-qos	CoPP および QoS に関連するポリシーの変更に使用されます。
ロール：fabric-admin
fabric-connectivity	ファブリック、ファームウェア、および導入ポリシーのレイヤ 1 ～ 3 の構成に使用します。ポリシー導入の影響を推定するための警告、およびリーフスイッチとスパインスイッチのアトミックカウンタ、診断、およびイメージ管理ポリシーを生成します。
fabric-equipment	リーフスイッチおよびスパインスイッチのアトミックカウンタ、診断、およびイメージ管理ポリシーに使用されます。
fabric-protocol	ファブリックでのレイヤ 1 ～ 3 のプロトコル構成、NTP、SNMP、DNS、およびイメージ管理のファブリック全体のポリシー、ERSPAN およびヘルススコアポリシー、およびファームウェア管理のトレースルートおよびエンドポイントトラッキングポリシーに使用されます。
ロール：nw-svc-admin
nw-svc-policy	レイヤ 4 ～レイヤ 7 ネットワークサービスオーケストレーションの管理に使用されます。
ロール： nw-svc-params
nw-svc-params	レイヤ 4 ～レイヤ 7 のサービスポリシーの管理に使用されます。
Role: ops
ops	設定されているポリシーの表示に使用されます（ポリシーのトラブルシューティングなど）。
ロール：port-mgmt
port-mgmt	ノードをセキュリティドメインに割り当てるために使用されます。また、ノードルールを持つセキュリティドメインのユーザーは、`port-mgmt` のロールを持つドメイン `all` に割り当てる必要があります。
Role: tenant-admin
aaa	ポリシーの認証、許可、アカウンティング、インポート/エクスポートの設定に使用されます。
access-connectivity	インフラでのレイヤ 1 ～ 3 の構成、テナントの L3Out でのスタティックルート構成、管理インフラポリシー、テナント ERSPAN ポリシーに使用されます。
access-equipment	アクセスポート設定に使用されます。
access-protocol	インフラストラクチャ、NTP、SNMP、DNS、およびイメージ管理用のファブリック全体のポリシー、およびクラスタポリシーやファームウェアポリシーなどの操作関連のアクセスポリシーでレイヤ 1 ～ 3 のプロトコル構成に使用されます。
access-qos	CoPP および QoS に関連するポリシーの変更に使用されます。
fabric-connectivity	ファブリック、ファームウェア、および導入ポリシーのレイヤ 1 ～ 3 の構成に使用します。ポリシー導入の影響を推定するための警告、およびリーフスイッチとスパインスイッチのアトミックカウンタ、診断、およびイメージ管理ポリシーを生成します。
fabric-equipment	リーフスイッチおよびスパインスイッチのアトミックカウンタ、診断、およびイメージ管理ポリシーに使用されます。
fabric-protocol	ファブリックでのレイヤ 1 ～ 3 のプロトコル構成、NTP、SNMP、DNS、およびイメージ管理のファブリック全体のポリシー、ERSPAN およびヘルススコアポリシー、およびファームウェア管理のトレースルートおよびエンドポイントトラッキングポリシーに使用されます。
nw-svc-policy	レイヤ 4 ～レイヤ 7 ネットワークサービスオーケストレーションの管理に使用されます。
tenant-network-profile	ネットワークプロファイルの削除および作成、エンドポイントグループの削除および作成など、テナント設定の管理に使用されます。
tenant-protocol	テナント下のレイヤ 1 ～ 3 プロトコルの構成、テナントトレースルートポリシー、およびファームウェアポリシーの書き込みアクセスに使用されます。
tenant-qos	テナントの QoS に関連する設定に使用されます。
tenant-security	テナントのコントラクトに関連する設定に使用されます。
Role: tenant-ext-admin
tenant-connectivity	ブリッジドメイン、サブネット、および VRF などのレイヤ 1 ～ 3 の接続変更に使用されます。これには、リーフスイッチおよびスパインスイッチのアトミックカウンタ、診断、およびイメージ管理ポリシー、テナントのインバンドおよびアウトオブバンド管理接続構成。アトミックカウンタやヘルススコアなどのデバッグ/モニタリングポリシーなどがあります。
tenant-epg	エンドポイントグループ、VRF、ブリッジドメインの削除/作成など、テナント設定の管理に使用されます。
tenant-ext-connectivity	書き込みアクセスファームウェアポリシーに使用されます。テナント L2Out および L3Out 設定の管理。デバッグ/モニタリング/オブザーバポリシー。
tenant-ext-protocol	BGP、OSPF、PIM、IGMP などのテナント外部レイヤ 1 ～ 3 プロトコルの管理、およびトレースルート、ping、oam、eptrk などのデバッグ/モニタリング/オブザーバポリシーに使用されます。通常、ファームウェアポリシーの書き込みアクセスにのみ使用します。
tenant-network-profile	ネットワークプロファイルの削除および作成、エンドポイントグループの削除および作成など、テナント設定の管理に使用されます。
tenant-protocol	テナント下のレイヤ 1 ～ 3 プロトコルの構成、テナントトレースルートポリシー、およびファームウェアポリシーの書き込みアクセスに使用されます。
tenant-qos	テナントの QoS に関連する設定に使用されます。
tenant-security	テナントのコントラクトに関連する設定に使用されます。

カスタム権限は、任意の MO クラスに割り当てることができます。22 個のカスタム権限が Cisco Cloud APIC GUI に表示されます。これらのカスタム権限のいずれかがクラスに割り当てられている場合、その MO のアクセスには新しく追加されたカスタム権限が含まれます。1 つのカスタム権限を 1 つ以上の MO クラスに関連付けることができます。

（注）

カスタム権限は Cisco Cloud APIC GUI で表示されますが、現在サポートされていません。

事前に定義された一連の管理対象オブジェクトクラスをドメインに関連付けることができます。これらのクラスがオーバーラップすることはできません。ドメインの関連付けをサポートするクラスの例：

レイヤ 2 およびレイヤ 3 のネットワークで管理されたオブジェクト
ネットワークプロファイル (物理、レイヤ 2、レイヤ 3、管理など)
Quality of Service（QoS）ポリシー

ドメインに関連付けることができるオブジェクトが作成されると、ユーザは、ユーザのアクセス権の範囲内でオブジェクトにドメインを割り当てる必要があります。ドメインの割り当てはいつでも変更できます。

RBACルール

RBAC ルールは、リソース（アプリケーションプロファイル、EPG、契約など）を、別のセキュリティドメインにいるためにアクセスできないユーザーに選択的に公開します。RBAC ルールは、アクセスされるオブジェクトを特定する識別名（DN）と、オブジェクトにアクセスするユーザーを含むセキュリティドメインの名前の 2 つの部分で構成されます。

RBAC ルールには 2 つのタイプがあります。

暗黙的 - ユーザーは、RBAC 階層に基づいてルールまたは権限を継承します
明示的 - ルールは特定のポリシーに基づいてユーザーに直接割り当てられます

制限付きおよび制限なしの両方のセキュリティドメインがサポートされています。

（注）

管理情報ツリー内の異なる部分に存在するユーザに対し、RBAC 規則によりオブジェクトを公開することは可能ですが、CLI の使用によってツリーの構造を横断することでそのようなオブジェクトに移動することはできません。ただし、RBAC 規則に含まれるオブジェクトの DN をユーザが把握していれば、ユーザは MO 検索コマンドにより、CLI を使用してそれを見つけることができます。

制限付きドメインの注意事項と制限事項

制限付きドメインのユーザーに対するガイドラインと制限は次のとおりです。

あるセキュリティドメインのユーザーに別のセキュリティドメインが割り当てられている場合、そのユーザーは新しいドメインに関連付けられた構成にアクセスできます。
ユーザーは、「制限付き」とマークされた 1 つ以上のセキュリティドメインの一部になることができます。
制限付きドメインユーザーは、システムで作成された構成への読み取り専用アクセス権を持っています。
複数のセキュリティドメインを持つユーザーの場合、すべてのセキュリティドメインを合わせた長さが 1024 文字を超えることはできません。長さが 1024 を超えると、ユーザーはポリシーの作成に問題が発生します。
Cloud APIC の制限付きドメインは、クラウドリソースではサポートされていません。つまり、ある制限付きドメインのユーザーは、別の制限付きドメインのユーザーによって作成されたクラウドリソースを表示できます。

Cisco Cloud APIC GUI を使用した RBAC ルールの作成

このセクションでは、GUI を使用して RBAC ルールを作成する方法について説明します。

（注）

RBAC ルールを構成できますが、Cloud APIC GUI は構成をサポートしていません。この手順（手順 4）を使用して構成された DN は、API を使用して照会できます。

始める前に

セキュリティドメインの作成詳細なタスクについては、「セキュリティドメインの作成」を参照してください。

手順

ステップ 1

インテントアイコンをクリックします。[インテント（Intent）] メニューが表示されます。

ステップ 2

[Intent]検索ボックスの下にあるドロップダウン矢印をクリックし、[Administrative]を選択します。

[インテント（Intent）] メニューに管理オプションのリストが表示されます。

ステップ 3

[インテント（Intent）] メニューの [管理（Administrative）] リストから、[セキュリティ（Security）] > [RBAC ルール（RBAC Rules）] > [RBAC ルールの作成（Create RBAC Rule）] をクリックします。[RBAC ルールの作成（Create RBAC Rule）] ダイアログボックスが表示されます。

ステップ 4

DN フィールドに、ルールの DN を入力します。

明示的な RBAC ルールを作成するには、ObjectStore でアプリケーションの DN を見つけます。ここでその DN 値を使用します。

ステップ 5

セキュリティドメインを選択します。

[セキュリティドメインの選択（Select Security Domain）] をクリックします。[セキュリティドメインの選択（Select Security Domain）] ダイアログボックスが表示されます。
[セキュリティドメインの選択（Select Security Domain）] ダイアログで、左側の列のセキュリティドメインをクリックして選択し、[選択（Select）] をクリックします。[RBAC ルールの作成] ダイアログボックスに戻ります。

ステップ 6

[書き込みを許可] フィールドで、[はい] をクリックして書き込みを許可するか、[いいえ] をクリックして書き込みを許可しません。

ステップ 7

設定が終わったら [Save] をクリックします。

（注）

明示的な RBAC ルールを作成した後、セキュリティドメインに割り当てられたユーザーは、以前に（ObjectStore から）定義されたアプリケーションとその子のみを表示できます。

Azure 向け Cisco Cloud APIC ユーザーガイド、リリース 25.0(x)

偏向のない言語

翻訳について

Book Title

Azure 向け Cisco Cloud APIC ユーザーガイド、リリース 25.0(x)

Chapter Title