管理者への権限プロファイルの割り当て

権限プロファイルとは、管理者に割り当てることのできる、Security Management ServerおよびSmartConsoleの管理者権限の定義済みセットです。権限プロファイルは、複数の管理者に割り当てることができます。権限プロファイルを作成および管理できるのは、プロファイルで「管理者を管理」権限を持つSecurity Management Server管理者のみです。

マルチドメインセキュリティ管理管理者用の権限プロファイルについてはR81.20 Multi-Domain Security Management Administration Guide

権限プロファイルの変更と作成

スーパーユーザ権限を持つ管理者は、権限プロファイルの編集、作成、削除を行うことができます。

これらは、定義済みのデフォルト権限プロファイルです。デフォルトの権限プロファイルを変更または削除することはできません。複製して、その複製したクローンを変更することができます。

  • Read Only All - 完全な読み取り権限。書き込み権限はなし。

  • Read Write All - 完全な読み取り/書き込み権限。

  • スーパーユーザ - 管理者とセッションの管理を含む、完全な読み取りと書き込みの権限。

- 複数の管理者が同時に、Read-Write All 権限で SmartConsole にログインできます。Read Only AllRead-Write All の権限プロファイルを切り替えることはできません。モードを切り替えるには、セッションを終了し、SmartConsoleに再接続して、SmartConsoleのログイン画面で、必要に応じて、Read Only のチェックボックスをオンまたはオフにします。

  1. Manage & Settings >Permissions & Administrators をクリックします。

  2. 管理者アカウントをダブルクリックします。

    Administratorsプロパティウィンドウが表示されます。

  3. Permissionsセクションで、リストから別のPermission Profileを選択します。

  4. OKをクリックします。

  1. SmartConsole で、Manage & Settings >Permissions & Administrators >Permission Profiles に進みます。

  2. 変更するプロファイルをダブルクリックします。

  3. 開いたProfileの設定ウィンドウで、必要に応じて設定を変更します。

  4. クリックClose

  1. SmartConsole で、Manage & Settings >Permissions & Administrators >Permission Profiles に進みます。

  2. New Profileをクリックします。

    New Profileウィンドウが開きます。

  3. プロファイルの一意な名前を入力します。

  4. プロファイルの種類を選択します。

    • Read/Write All- 管理者はすべての機能に変更を加えることができる

    • Auditor (Read Only All)- 管理者はすべての情報を見ることができますが、変更はできません。

    • Customized- カスタム設定の構成 (カスタマイズされた権限の設定)。

  5. クリックOK

  1. SmartConsole で、Manage & Settings >Permissions & Administrators >Permission Profiles に進みます。

  2. プロファイルを選択して、Deleteをクリックします。

    管理者に割り当てられたプロファイルは、削除できません。どの管理者がプロファイルを使用しているかを確認するには、エラーメッセージの中でWhere Usedをクリックします。

    管理者にプロファイルが割り当てられていない場合は、確認画面が表示されます。

  3. Yesをクリックして確定します。

カスタマイズされた権限の設定

GatewaysAccess ControlThreat PreventionOthersMonitoring and LoggingEvents and ReportsManagementの管理者権限を設定します。各リソースについて、このプロファイルで構成される管理者が機能を設定できるか、または表示されるだけかを定義します。

権限:

  • Selected- 管理者にはこの機能がある。

  • Not selected- 管理者にはこの機能はない。

    - 機能選択をクリアできない場合、その機能への管理者アクセスは必須です。

一部の機能には、ReadWriteのオプションがあります。機能が選択されている場合:

  • Read- 管理者はこの機能を持つが、変更はできない。

  • Write- 管理者はこの機能を持ち、変更を加えることができる。

  1. ProfileオブジェクトのOverview > Permissionsセクションで、Customizedを選択します。

  2. Profileオブジェクトのこれらのページで権限を設定します。

  3. Managementセクションで、このプロファイルに次の権限を設定します。

    • Manage Administrators- 他の管理者アカウントを管理します。

    • Manage Sessions- 管理者がセッション管理設定(単一セッションまたは複数セッション)を構成できます。

    • High Availability Operations- ハイアベイラビリティの設定と作業。

    • Management API Login- Security Management Serverにログインし、これらのツールを使用してAPIコマンドを実行する権限:

      • mgmt_cli (LinuxおよびWindowsバイナリ)

      • Gaia CLI (clish)

      • Webサービス(REST)

      管理者が管理サーバ上で自動スクリプトを実行できないようにする場合に便利です。

      - SmartConsoleのAPIターミナルからコマンドを実行する場合、この権限は必要ありません。

    • Cloud Management Extension (CME) API- CME APIの使用許可。

    • Publish sessions without an approval- 未選択の場合、セッションの変更には承認が必要です。

    • Approve/reject other sessions- 選択された場合、管理者は他の管理者による変更を承認する権限を持っています。

    • Manage integration with Cloud Services- 選択した場合、管理者は SmartConsole のCloud Services ビューから Infinityポータル に接続する権限を持っています。

  4. クリックOK

重要- 権限プロファイルにおいて、VSX Provisioning ([Gateway]タブ内)を選択した場合、Publish sessions without an approval ([Management ]タブ内)も選択する必要があります。これは、管理サーバがVSXオブジェクトの変更を直ちに保存する必要があるためです。

アクセスコントロールレイヤーの権限の設定

異なるレイヤーの所有権を異なる管理者に委任することで、アクセスコントロールポリシーの管理を簡素化することができます。

これを行うには、レイヤーに権限プロファイルを割り当てます。権限プロファイルには次の権限が必要です: Edit Layer by the selected profiles in a layer editor

この権限を備えた権限プロファイルを持つ管理者は、レイヤーを管理することができます。

  1. 管理者プロファイルにレイヤー権限を付与します。

  2. レイヤーに権限プロファイルを割り当てます。

管理者プロファイルにレイヤー権限を付与するには

  1. ProfileオブジェクトのAccess Control > Policyセクションで、Edit Layer by the selected profiles in a layer editorを選択します。

  2. クリックOK

権限プロファイルをレイヤーに割り当てるには

  1. SmartConsole で、Menu > Manage policies and layersをクリックします。

  2. 左側のペインでLayersをクリックします。

  3. レイヤーを選択します。

  4. クリックEdit

  5. 左側のペインでPermissionsを選択します。

  6. クリック+

  7. レイヤー権限のあるプロファイルを選択します。

  8. クリックOK

  9. クリックClose

  10. SmartConsoleセッションを公開する。

アクセスコントロールと脅威対策のためのアクセス許可の設定

権限プロファイルオブジェクトで、機能を選択し、その機能に対する読み取りまたは書き込みの管理者権限を選択します。

  • Access Control

    レイヤーを編集するには、レイヤー内のすべてのSoftware Bladeの権限が必要です。

    Actionsセクションで:

    • Install Policy- セキュリティゲートウェイにアクセスコントロールポリシーをインストールします。

    • Application & URL Filtering Update- アクセスルールに使用するアプリケーションやWebサイトの新しいパッケージをダウンロードし、インストールします。

  • Threat Prevention

    Actionsセクションで:

    • Install Policy- セキュリティゲートウェイに脅威対策ポリシーをインストールします。

    • IPS Update- IPS保護用の新しいパッケージをダウンロードしてインストールします。

モニタ、ログ、イベント、レポートに対する権限の設定

Profileオブジェクトで、機能とその管理者権限である読み取り/書き込みを選択します。

  • モニタリングとログ機能

    これらは利用可能な機能の一部です:

    • Monitoring

    • Management Logs

    • Track Logs

    • Application and URL Filtering Logs

  • イベントとレポート機能

    SmartEventに関する権限です。

    • SmartEvent

      • Events- SmartConsoleのビューLogs & Monitor

      • Policy- SmartEvent GUIのSmartEvent Policy and Settings

      • Reports- SmartConsole >Logs & Monitor

    • SmartEvent Application & URL Filtering reports only