sstore-authorized-user (7)
名前
sstore-authorized-user - Statistics Store 承認済みユーザー
説明
sstore 承認済みユーザーは、指定された名前空間ノードおよび特権操作に対して承認されています。この承認により、ユーザーは操作の実行に必要な RBAC 承認がなくても、その名前空間ノードまたはその非トポロジ的ないずれかの子孫ノードに対して特権操作を実行できます。RBAC 承認の詳細は、sstore-security(7) のマニュアルページを参照してください。
たとえば、ユーザー foo が //:class.event に対する read_sensitive 操作の承認済みユーザーであるが、機密性の高い統計を読み取るための RBAC 承認を持っていない場合、foo は //:class.event 下にある機密性の高いイベントは読み取れますが、その名前空間のほかの部分から機密データを読み取ることはできません。
Statistics Store 承認済みユーザーの定義
名前空間ノードに対する操作の sstore 承認済みユーザーを指定するには、1 つの承認または 1 組のユーザー名、あるいはその両方を使用します。
ユーザー名を使用した承認済みユーザーの定義
承認済みユーザーが定義される名前空間ノードでは、そのメタデータ内に次の情報が含まれている必要があります。
"sau_op_name_username": user_name [,<user_name>]
op_name に使用できる値は次のとおりです。
-
all
-
read_sensitive
-
capture_sensitive
-
capture_expensive
-
write
-
update_res
-
delete
-
config
これらの操作の詳細は、sstore-security(7) のマニュアルページを参照してください。
たとえば、ユーザー user_bar が //:class.app/solaris/foo 下にある機密性の高い統計またはイベントを読み取ることを許可するには、sstore 承認済みユーザーを作成する必要があり、そのためには //:class.app/solaris/foo のメタデータ内に次のキーと値のペアを追加します。
"sau_read_sensitive_username": "user_bar"
RBAC 承認を使用した承認済みユーザーの定義
承認済みユーザーが定義される名前空間ノードでは、そのメタデータ内に次のキーと値のペアが含まれている必要があります。
"sau_op_name_auth": RBAC auth
op_name に使用できる値は、ユーザー名によって承認済みユーザーを定義する際に使われる値と同じです。
たとえば、solaris.sstore.apache.write RBAC 承認を持つどのユーザーにも //:class.apache に対する書き込み操作を実行することを許可するには、//:class.apache のメタデータ内に次のキーと値のペアを定義します。
"sau_write_auth": "solaris.sstore.apache.write"
このキーと値のペアの定義により、solaris.sstore.apache.write RBAC 承認を持つ Apache プロセスは //:class.apache 下にある統計を提供できます。
関連項目
auths(1)、sstore(1)、libsstore(3LIB)、sstore.json(5)、ssid(7)、ssid-metadata(7)、sstore(7)、sstore-security(7)、sstoreadm(1)