ユーザロールの定義

役割を追加または編集する

1. Deep Security Managerで、[管理]→[ユーザ管理]→[役割]に移動します。
2. [新規] をクリックして新しいロールを追加するか、既存のロールをダブルクリックして設定を変更します。
3. 次を含む、ロールの一般的なプロパティを指定します。
   • 名前: 役割の名前。ユーザの追加時に、[役割] 画面および使用可能な役割のリストに表示されます。
   • 説明:役割の説明 (オプション)。
   • アクセスの種類:この役割を持つユーザがDeep Security Manager、Deep Security Manager WebサービスAPI (従来のSOAP APIおよびREST APIに適用されます) 、またはその両方にアクセスするかどうかを選択します。
     レガシーSOAPおよびREST WebサービスAPIを有効にするには、[管理]→[システム設定]→[詳細設定]→[SOAP Web Service API]に移動してください。
   • Trend Cloud One - Endpoint & Workload Securityに移行する:このロールを持つユーザに、Workload Securityリンクへのアクセス権限、移行タスクの処理権限、またはその両方を付与するかどうかを選択します。
4. [コンピュータの権限] ペインを使用して、役割のユーザに表示、編集、削除、警告とエラーのクリア、アラートの消去、イベントタグ付けの権限を付与します。これらの権限は、すべてのコンピュータおよびコンピュータグループに適用することも、特定のコンピュータに制限することもできます。アクセスを制限するには、ユーザが実行できる処理の種類を選択します。処理を [選択したコンピュータ] にのみ適用する場合は、この役割のユーザがアクセスできるコンピュータグループとコンピュータを選択します。
   これらの権限制限は、Deep Security Manager内のコンピュータへのユーザのアクセスだけでなく、イベントやアラートを含む表示される情報にも影響します。さらに、メール通知はユーザがアクセス権を持つデータに関連する場合にのみ送信されます。
   警告とエラーをクリアする権限が付与されると、その役割は閲覧者ではなく編集者と見なされます。
   利用可能な基本オプションは4つです:
   • 選択されていないコンピュータおよびデータ (イベントやレポートなど) を表示::この役割のユーザの編集、削除、またはアラート消去の権限が制限されている場合でも、このチェックボックスをオンにすることで他のコンピュータに関する情報の表示 (変更は不可) を許可できます。
   • コンピュータに関連していないイベントおよびアラートを表示::このオプションを設定して、この役割のユーザがコンピュータ関連以外の情報 (例えば、システムイベント、ユーザがロックされた、新しいファイアウォールルールが作成された、IPリストが削除されたなど) を表示できるようにします

     注意 前述の2つの設定は、ユーザがアクセスできるデータに影響します。この2つの設定は、ユーザがコンピュータに変更を加える機能は制限したまま、アクセス権を持たないコンピュータに関連する情報を表示可能にするかどうかを制御します。それらのコンピュータに関連するメール通知を受信するかどうかも含まれます。

   • 選択したグループ内に新しいコンピュータを作成::この役割のユーザが、アクセス可能なコンピュータグループに新しいコンピュータを作成できるようにするには、このオプションを設定します。
   • 選択したグループ内にサブグループを追加または削除::この役割のユーザが、アクセス可能なコンピュータグループ内にサブグループを作成および削除できるようにするには、このオプションを設定します。
   [詳細な権限] セクションでこれらを有効にすることもできます。
   • コンピュータファイルをインポート::この役割のユーザは、 Deep Security Managerの[コンピュータエクスポート]オプションを使用して作成されたファイルを使用してコンピュータをインポートできます。
   • ディレクトリを追加、削除、および同期::この役割のユーザが、MS Active DirectoryなどのLDAPベースのディレクトリを使用して管理されているコンピュータを追加、削除、および同期できるようにします。
   • VMware vCenterを追加、削除、および同期::この役割のユーザが、VMware vCenterを追加、削除、および同期できるようにします。
   • クラウドプロバイダーの追加、削除、および同期を許可::この役割のユーザが、クラウドプロバイダを追加、削除、および同期できるようにします。
5. [ポリシーの権限] タブを使用して、表示、編集、および削除の権限をある役割のユーザに与えます。これらの権限は、すべてのポリシーに適用することも、特定のポリシーに制限することもできます。アクセス権を制限する場合は、[選択したポリシー:: をクリックし、この役割のユーザにアクセス権を与えるポリシーの横にあるチェックボックスをオンにします。
   
   「子」ポリシーを持つポリシーへの権限を許可すると、その子ポリシーに対する権限も自動的に付与されます。
   次に示す2つの基本オプションを使用できます。
   • 選択されていないポリシーを表示::この役割のユーザの編集または削除の権限が制限されている場合でも、このチェックボックスをオンにすることで他のポリシーに関する情報の表示 (変更は不可) を許可できます。
   • ポリシーの作成::この役割のユーザが新しいポリシーを作成できるようにするには、このオプションを設定します。
   [詳細な権限] セクションで以下を有効にすることもできます。
   • ポリシーのインポートを許可::この役割のユーザに、[ポリシー]タブのDeep Security Managerの[エクスポート]オプションで作成されたファイルを使用してポリシーをインポートできるようにします。
6. [ユーザ権限] タブのオプションを使用して、管理者アカウントの権限を定義すできます。
   
   • 自身のパスワードと連絡先情報のみを変更::ユーザは、この役割で自身のパスワードと連絡先情報のみを変更できます。
   • 同等以下のアクセス権を持つユーザを作成および管理::この役割のユーザは、同等以下のアクセス権を持つユーザを作成および管理できます。この役割を持つユーザの権限を1つでも上回る場合、この役割のユーザはそのユーザを作成または管理できません。
   • すべての役割およびユーザを完全に管理::この役割のユーザは、ユーザと役割を制限なしで作成および管理できます。このオプションの使用には、十分な注意が必要です。このロールを役割に割り当てる場合は、制限された権限を持つユーザに対して、Deep Security Managerのすべての側面に対するすべての制限のないアクセス権を持つユーザとして作成してからログインすることができます。
   • カスタム:: [カスタム] を選択して、[カスタム権限] セクションのオプションを使用すると、ユーザが他のユーザおよび役割を表示、作成、編集、または削除する権限をさらに制限できます。[同等以下の権限を持つユーザのみを操作] オプションを選択すると、特定のユーザに対して一部のオプションが制限される場合があります。
     [同等以下の権限を持つユーザのみを操作] オプションでは、この役割のユーザの権限をさらに制限します。ユーザは、自身と同等または下位の権限を持つユーザに対する変更のみ行うことができます。この役割のユーザは、役割を作成、編集、削除できなくなります。このオプションを選択すると、[カスタム権限] セクションの以下のオプションが制限されます。
     • 新規ユーザを作成できます::同等または下位の権限を持つユーザの作成のみ可能です。
     • ユーザプロパティを編集できます:同等または下位の権限を持つユーザの編集、またはパスワードの設定またはリセットのみ可能です。
     • ユーザを削除できます::同等または下位の権限を持つユーザの削除のみ可能です。
7. [その他の権限]タブでは、特定のDeep Securityの機能にのみアクセスできるように、また場合によってはそれらの機能で特定の処理にアクセスできるように、役割の権限を制限できます。たとえば、管理者が複数いる場合、誤って他の管理者の作業内容を上書きすることがないように各管理者の権限を制限できます。初期設定では、各役割は各機能に対して[表示のみ]または[非表示]に設定されています。アクセスを細かく変更またはカスタマイズするには、リストから[カスタム]を選択します。
   
8. [割り当て対象] タブには、この役割が割り当てられたユーザのリストが表示されます。役割が正しく機能していることをテストする場合は、新しいユーザを作成し、そのユーザとしてログインして機能を検証します。

Full Access、Auditor、および新規の各役割の初期設定