ACL 許可

WebSphere Event Broker はアクセス制御リスト (ACL) を使用して、構成マネージャー および Message Brokers Toolkit 内のオブジェクトを操作できるユーザーおよびグループを制御します。ユーザーまたはグループに付与できる 4 つの異なるアクセス・レベルがあります。すなわち、フル、表示、デプロイ、および編集です。すべてのオブジェクト・タイプに対して必ずしもすべてのアクセス・レベルが有効だとは限りません。下記の表は、それぞれのオブジェクト・タイプに設定できる許可を記述し、ユーザーまたはグループが実行できるアクションを要約します。

ブローカー管理者が作成しなければならないアクセス制御項目の数を削減するために、ACL 許可は階層に従って機能します。ツリーのルートは ConfigManangerProxy オブジェクトで、これには RootTopic、Subscriptions、および PubSubTopology という 3 つの子があります。PubSubTopology オブジェクトは子としてゼロ個以上のブローカーを持ち、それぞれのブローカーは子としてゼロ個以上の実行グループを持ちます。あるオブジェクトに ACL 項目を追加すると、その許可はそのオブジェクト自体に付与されるとともに、別の ACL 項目によって指定変更されないかぎり、階層内でそのオブジェクトの下に位置するすべてのオブジェクトにも付与されます。次に示す図は、階層の例です。

この図は階層例を示します。ルートは CMP で、これには RootTopic、Subscriptions、および PubSubTopology という 3 つの子があります。PubSubTopology には 2 つの子、Broker1 および Broker2 があります。それぞれのブローカーには 2 つの子、Eg1A および Eg1B があります。

以下のシナリオでは、この階層式の機能が実際にどのように働くかを示します。

シナリオ 1

UserA にはアクセス制御項目がありません。したがって、UserA は階層内のオブジェクトを操作することも、階層内で定義されたオブジェクトのいずれかを参照することもできません。

シナリオ 2

UserB には Eg1A に対するデプロイ項目があります。したがって、UserB には以下の許可があります。

CMP なし
RootTopic なし
Subs なし
Topology 表示
Broker1 表示
Eg1A デプロイ
Eg1B なし
Broker2 なし
Eg2A なし
Eg2B なし

アクセス制御項目が実行グループに対して付与されているので、親のブローカーおよびトポロジーに対しても暗黙の「表示」許可が与えられます。さもないと、実行グループはツール内で表示されなくなってしまいます。しかし、このユーザーにはブローカーまたはトポロジーに対する実際の ACL 項目はないので、他のブローカーまたは実行グループに対する継承されたアクセスはありません。実際問題としてこれは、UserB はそのブローカーで別の実行グループが定義されていることは分かっても、詳細 (名前を含む) は何も表示できないということを意味しています。

同様に、UserB はトポロジー内に別のブローカーが存在することは分かっても、詳細は何も表示できません。UserB は RootTopic またはサブスクリプション表に対するアクセスを持ちません。

シナリオ 3

UserC には 構成マネージャー・プロキシー (CMP) に対して「表示」項目があり、Broker1 に対してフル・コントロール項目があります。したがって、UserC には以下の許可があります。

CMP 表示
RootTopic 表示
Subs 表示
Topology 表示
Broker1 フル
Eg1A フル
Eg1B フル
Broker2 表示
Eg2A 表示
Eg2B 表示

シナリオ 4

UserD には CMP に対してフル・コントロール項目があり、Broker1 に対して「表示」項目があります。したがって、UserD には以下の許可があります。

CMP フル
RootTopic フル
Subs フル
Topology フル
Broker1 表示
Eg1A 表示
Eg1B 表示
Broker2 フル
Eg2A フル
Eg2B フル

この例の場合、Broker1 に対する「表示」項目がなければ、ユーザーはフル・コントロールを持つことになります。「表示」項目のこのような使用法は有用です。これにより、通常は特定のオブジェクトに対してフル・コントロールを持っているユーザーから、一時的にアクセス権を削減し、偶発的な削除またはデプロイを防ぐことができるからです。ユーザーがオブジェクトのフル・コントロールを必要とする場合には、「表示」項目を除去するとフル・コントロールが復元するので、必要とする操作を実行できます。その後で「表示」項目を復元できます。

オブジェクトのアクセス制御項目を変更するためには、ユーザーはそのオブジェクト、または階層の親に対してフル・コントロールを有していなければなりません。これはつまり、ACL 自体を変更する許可は上記と同様に作動するものの、例外として、ツリーのより下の部分に対してより下位の許可を付与しても ACL へのアクセスは除去できないということです。これは必要な事柄です。というのは、さもないと、ユーザーが自分自身に対して「表示」項目を付与した後でそれを除去できなくなってしまうからです。

ACL 項目の操作は、Java 構成マネージャー・プロキシー API または mqsicreateaclentrymqsideleteaclentry、および mqsilistaclentry コマンドを使用して行えます。

以下の表は、指定された許可を持つユーザーが実行できるアクションを説明します。
オブジェクト 許可 権利
トポロジー フル・コントロール
  • ブローカーの作成と削除
  • 集合の作成と削除
  • 集合に対するブローカーの追加と除去
  • 接続の作成と削除
  • トポロジーのデプロイ
  • すべてのトポロジーの「表示」許可
表示
  • トポロジー構成と管理対象のサブコンポーネントの表示
ブローカー フル・コントロール
  • 実行グループの作成と削除
  • すべてのブローカー・プロパティーの編集
  • すべてのブローカーの「デプロイ」許可
  • 内部実行グループに対するすべての実行グループの「フル・コントロール」許可
  • すべてのブローカーの「表示」許可
デプロイ
  • ブローカー構成のデプロイ
  • すべてのブローカーの「表示」許可
表示
  • ブローカー構成と管理対象のサブコンポーネントの表示
  • トポロジーに対する暗黙的な表示アクセス
実行グループ フル・コントロール
  • すべての実行グループ・プロパティーの編集
  • 実行グループの始動と停止
  • すべての実行グループの「デプロイ」許可
  • すべての実行グループの「表示」許可
デプロイ
  • 実行グループ構成のデプロイ
  • 割り当て済みのメッセージ・フローの開始と停止
  • トレースの開始と停止
  • すべての実行グループの「表示」許可
表示
  • 実行グループ構成と管理対象のサブコンポーネントの表示
  • 親ブローカーおよびトポロジーに対する暗黙の表示アクセス
root トピック フル・コントロール
  • 「トピック・アクセス制御リスト」の編集
  • すべての root トピックの「デプロイ」許可
  • すべての root トピックの「編集」許可
  • すべての root トピックの「表示」許可
デプロイ
  • トピック構成全体のデプロイ
  • すべての root トピックの「表示」許可
編集
  • 子トピックの作成と削除
  • すべての root トピックの「表示」許可
表示
  • すべてのトピック (子トピックも含む) とすべての管理対象サブコンポーネントの表示
サブスクリプション フル・コントロール
  • すべてのサブスクリプションの削除
  • すべてのサブスクリプションの「表示」許可
表示
  • すべてのサブスクリプションとすべての管理対象サブコンポーネントの表示または照会
関連概念
ランタイム・リソースのセキュリティー
トピック・ベースのセキュリティー
関連タスク
ブローカー・ドメインのセキュリティーのセットアップ
トピック・ベースのセキュリティーの使用可能化
新規トピックの追加
関連資料
mqsicreateaclentry コマンド
mqsideleteaclentry コマンド
mqsilistaclentry コマンド
ACL の更新
特記事項 | 商標 | ダウンロード | ライブラリー | サポート | フィードバック
Copyright IBM Corporation 1999, 2005 Last updated: 10/31/2005
ap12520_