1.2.17 ボールトおよびファイルのアクセス制御

アクセス制御リスト(ACL)は、ユーザー権限(特にボールトの最上位レベルの権限)と連携して、Exascaleボールトおよびファイルへのアクセスを制御します。ボールトまたはファイルに対してアクションを実行するには、適切なACL権限または適切なボールトの最上位レベルのユーザー権限が必要です。Exascaleにはボールトまたはファイルの所有権という形式的概念がないため、すべての操作はユーザー権限とACLの組合せによって制御されます。

次の表に、Exascaleボールトおよびファイルに対して様々な操作を実行するために必要な最小限のボールトの最上位レベルのユーザー権限、ボールトACL権限またはファイルACL権限を示します。該当する場合は、関連するESCLIコマンドが各操作とともに示されます。

操作	必要なボールトの最上位レベルのユーザー権限	必要なボールトACL権限	必要なファイルACL権限
ボールトの作成 (mkvault)	vlt_inspect	該当なし。	該当なし。
ボールトのリスト (ls)	vlt_read	inspect	該当なし。
ボールト内のファイルのリスト (ls)	vlt_read	read	該当なし。
ボールトの削除 (rmvault)	vlt_manage	manage	該当なし。
ボールトの属性の表示 (lsacl、lsxattr、lstemplate)	vlt_read	inspect	該当なし。
ボールトの属性の変更 (chxattr、mktemplate、rmtemplate、rmxattr)	vlt_manage	manage	該当なし。
ボールトACLの変更 (chacl)	vlt_manage	manage	該当なし。
ファイルの作成 (mkfile)	vlt_read	inspect	該当なし。
ファイルの削除 (rmfile)	vlt_manage	manage	manage
ファイルの内容の読取りおよび書込み (putfile)	vlt_manage	manage	use
ファイルの内容の読取り (getfile)	vlt_use	use	read
ファイルの属性の表示 (lsacl、lsxattr)	vlt_read	read	inspect
ファイルの属性の変更 (chxattr、rmxattr)	vlt_manage	manage	use
ファイルACLの変更 (chacl)	vlt_manage	manage	manage

スナップショットまたはクローンを作成するには、ユーザーはソース・ファイルを読み取るために'ファイルの内容の読取り'操作の権限を必要とし、スナップショットまたはクローンのファイルを作成するために'ファイルの作成'操作の権限も必要とします。作成後、スナップショットおよびクローンに対する操作には、他のファイルに対するのと同じ権限が必要です。

操作を実行するには、どのユーザーも操作の横に示されている権限のうち少なくとも1つを必要とします。たとえば、読取り専用アクセスのためにファイルを開くには、リクエスト・ユーザーは少なくとも次のいずれかを必要とします:

• vlt_useボールトの最上位レベルのユーザー権限。
• ファイルを含むボールトに対するuseボールトACL権限。
• 開いているファイルに対するreadファイルACL権限。

Exascaleにより、ユーザーは自分が作成したボールトおよびファイルを管理できるようになります。ボールトの作成時、作成ユーザーがvlt_manageボールトの最上位レベルのユーザー権限を持っていない場合、Exascaleは、manage権限を指定して作成ユーザーをボールトACLに追加します。ファイルの作成時、作成ユーザーがvlt_manageボールトの最上位レベルのユーザー権限を持っておらず、またユーザーがボールトACLでmanage権限を持っていない場合、Exascaleは、manage権限を指定して作成ユーザーをファイルACLに追加します。