リソースグループの管理

PAM360 は、リソースをリソースグループに整理することで、効率的なリソース管理を可能にします。リソースグループは2つの方法で作成可能です。管理者が特定のリソースを手動で選択してグループを形成する静的リソースグループ、そしてあらかじめ定義された基準に基づいて自動的にリソースを含める動的リソースグループです。これらの条件を満たす新しく追加されたリソースは自動的にグループに追加され、シームレスで自動化されたリソース編成が実現します。さらに、管理者はリソース グループをユーザーまたはユーザー グループと共有して、特権アカウントへのアクセスを制御できます。リソースの追加や削除など、リソースグループに対する変更は、そのグループを通じて共有される特権アカウント アクセスに直接影響します。共有リソースグループへのアクセス権を持つユーザーは、そのグループに現在含まれているリソースのパスワードにのみアクセスできます。

さらに、PAM360 は、リソースグループを整理するためのネストされたグループ化をサポートしています。これにより、管理者は組織の部署またはセクションの階層を反映するノードまたはサブグループを作成できるようになり、リソースの管理とナビゲーションが向上します。

このドキュメントを読み終えると、次のトピックについて詳しく理解できるようになります。

  1. 動的リソース グループ
  2. 静的リソース グループ
  3. リソースグループの表示
  4. ネストされたグループ
  5. リソースグループの管理

1.動的リソースグループ

動的リソースグループには、事前定義された条件または式に基づいて特権リソースが自動的に含まれます。新しいリソースが指定された条件を満たすと、リソースグループに自動的に追加され、条件を満たさなくなったリソースは削除されます。このリソースグループは以下の用途に役立ちます。

  • 属性 (リソースタイプ、部門、パスワードポリシーなど) に基づいてリソースグループ内のリソースを管理。
  • 管理上の負担を減らすためにリソースグループ化を自動化。

PAM360 で動的リソースグループを追加するには、[グループ]>>[グループ追加]>>[条件グループ追加]>>[動的グループを追加] に移動します。開いたウインドウで、

  1. [Group Name] フィールドに一意の名前を入力します。
  2. 今後の参照用に、[Description] フィールドに明確な説明を入力します。
  3. グループに適した[Password Policy]を選択します。選択したパスワードポリシーは、リソースグループ内のアカウントの定期的なパスワード リセット時にパスワードの割り当てに適用されます。
  4. ノードベースのネストされたグループ化を選択した場合は、[Subgroup Of] ドロップダウンで目的のルート ノードまたはサブノードを選択し、新しいリソース グループが正しい階層ノードの下に配置されるようにします。
  5. 継承ベースのネストされたグループ化を選択した場合、[Subgroup Of] ドロップダウンで既存のグループを選択し、この新しいリソース グループをサブグループとして追加します。また、選択した親グループから共有設定を継承するには、[Inherit sharing permission from the assigned parent group] チェックボックスを有効にします。無効になっている場合、このリソースグループは、必要権限レベルがある各ユーザーまたはユーザーグループと手動で共有する必要があります。

    メモ:

    継承ベースのリソースグループ化は、ビルド7410以降でのみ適用されます。

  6. 必要に応じて、[Allow password retrieval and other operations without ticket ID.] チェックボックスをオンにします。これにより、チケット ID を必要とせずに、このリソースグループ内のアカウントのパスワードにアクセスしたり取得したりできるようになります。このオプションを選択する前に、チケットシステムの設定が有効になっていることを確認してください。
  7. 7200 より前のビルドの場合は、次の手順を実行します。
    1. 利用可能なフィルターを使用して、グループの条件を指定します。
    2. 必要な条件を指定したら、[Search] をクリックすると、このグループに含まれる利用可能なリソースのリストが表示されます。
    3. [Save] をクリックすると、定義した条件でリソースグループが作成されます。
    manage-resource-groups-1
  8. 7200 より前のビルドの場合は、次の手順を実行します。
    1. 動的グループの条件を定義するには、[Save & Proceed] をクリックします。
    2. 次のウィンドウでは、グループ内の動的なリソース管理のために、[Add Condition]/[Add Subset]およびAND|OR 演算子を使用して条件を作成します。既存の条件テンプレートがある場合は、テンプレート フィールドから選択して [適用] をクリックすることで適用できます。
    3. 条件を指定した後、[検索] をクリックして、定義された条件に基づいてグループに含まれるリソースを表示します。
    4. [保存] をクリックして、指定した条件でリソースグループの作成を完了します。
    manage-resource-groups-2

    manage-resource-groups-3

リソースが PAM360 に追加または変更され、動的グループの作成済み条件に該当する場合は、それぞれのリソースグループに追加されます。


1.1 動的グループを作成するシナリオ

7200 から適用可能なビルドの場合、必要なリソースを関連付けるための条件を効果的に作成するシナリオをいくつか示します。

シナリオ 1: 組織内のシステム管理者が、マーケティング部署の Windows リソースと開発部署の Linux リソースのみを含むリソース グループを作成する必要がある。これにより、管理者は 1 回のクリックでこれらのリソース全体の操作を効率的に管理および実行できるようになります。

しかし、両部署が Windows と Linux の両方のリソースを管理しており、部署のポリシーや制限によりリソースが毎月追加または削除されるなど、頻繁に変更されるという点が課題となっています。

このプロセスを合理化し、毎月必要となる手作業を最小限に抑えるために、PAM360 の動的リソース グループ機能を活用できます。以下に示すように、特定の条件で動的グループを作成することにより、システム管理者は関連するリソースを自動的に含めることができ、最小限の介入でグループを最新の状態に維持できます。

dynamic-scenario1

シナリオ 2: 組織内の IT 管理者が、[pc01] および [dc23] で始まり [.abccorp.com] で終わる DNS 名で作成された特定の Linux リソース セットに対して、メンテナンスを実行したり、セキュリティ ポリシーを適用したり、構成を監査したりする必要がある。

課題は、これらのリソースがさまざまな機能を果たす可能性があり、それに応じて管理する必要があるため、効率的に見つけてグループ化することです。しかし、管理者は、グループ化する必要がある Linux リソースが、リソース名[CV-1]で混在した順序で作成されていることに気付きました。この条件に該当する Linux リソースを検索して整理する代わりに、管理者は動的リソース グループ機能を利用してプロセスを自動化できます。

下の画像に指定された条件で動的グループを作成することにより、管理者は関連する Linux リソースを自動的に含めることができます。このアプローチにより、リソース グループが正確かつ最新の状態に維持され、継続的な管理タスクが簡素化され、定期的な手動介入の必要性が軽減されます。

dynamic-scenario2

2.静的リソースグループ

静的リソースグループには、管理者が手動で追加した特権リソースの固定セットが含まれます。一度割り当てられたリソースは、手動で変更しない限り、リソースグループ内のリソースは変更されません。PAM360 で静的リソースグループを追加するには、[グループ] >> [グループ追加] >> [静的グループ] に移動します。開いたウィンドウで、次の操作を実行します。

  1. [Group Name] フィールドに一意の名前を入力します。
  2. 今後の参照用に、[Description] フィールドに明確な説明を入力します。
  3. 静的リソースグループに適切な[Password Policy]を選択します。
  4. 静的グループの[アクセスポリシー]を選択します。
  5. 新しいリソースグループを既存のリソースグループ のサブグループにするには、[Subgroup Of] ドロップダウンから親グループを選択します。選択したリソース グループは、新しい静的リソースグループの親になります。
    manage-resource-groups-4
  6. 必要に応じて、[Allow password retrieval and other operations without ticket ID.] チェックボックスをオンにします。これにより、チケット ID を必要とせずに、このリソースグループ内のアカウントのパスワードにアクセスしたり取得したりできるようになります。このオプションを選択する前に、発券システム構成が有効になっていることを確認してください。
  7. [Save & Proceed]をクリックします。
  8. 開いたダイアログ ボックスで、作成した静的リソースグループに必要なリソースを追加します。

3.リソースグループの表示

リソースグループとそれに関連付けられたリソースは、[グループ] タブと [リソース] タブから表示できます。[グループ] タブで、リソースグループを選択し、上部のパネルで [ツリー表示] をクリックすると、リソース グループの階層ビューが表示されます。

manage-resource-groups-5

[リソース] タブでは、リソースグループが左側のパネルのツリー ビューに表示されます。グループの名前をクリックすると、関連付けられているリソースとそのパスワードが表示されます。

nested-resource_2

メモ:

ビルド 7010 以降、[一般設定]で [Manage nested groups using inheritance-based grouping] を有効にすると、管理者は [リソース] タブの [パスワード エクスプローラー] ツリーから、必要に応じてリソース グループを直接作成、編集、削除し、ユーザーまたはユーザー グループと共有できるようになります。


4.ネストしたグループ

ネストされたグループの詳細については、このヘルプ ドキュメントを参照してください。

5.リソースグループの操作

[グループ] タブでは、管理者は、ユーザーまたはユーザー グループとの共有、リソースグループの所有権の転送、パスワードのリセット (手動および定期的なリセット)、SSH コマンド制御の構成など、個々のリソースと同様に、リソースグループに対して個別および一括構成を実行できます。

manage-resource-groups-6

さらに、PAM360 では、セキュリティと整合性を強化するために、[グループ] タブでいくつかのリソースグループ レベルの操作が提供されます。

5.1 同期外れのパスワードの検出

この機能は、PAM360 に保存されているパスワードがターゲット装置のパスワードと一致するかどうかを確認します。これは 1 回限りの操作です。チェックを開始するには、[いますぐ実行] をクリックします。

5.2 定期的整合性検査

[定期的整合性検査] ウィンドウでは、管理者はパスワードの一貫性を確保するための定期的整合性検査をスケジュールできます。

  1. 一回のみ:将来のチェックをスケジュールせずに整合性チェックを実行します。
  2. 日/月毎:自動整合性検査の間隔(日数または月数)を指定します。
  3. 定期整合性検査の開始日時を選択します。
  4. スケジュールされたチェックを無効にするには、[なし] を選択します。
  5. 設定を確認するには、[スケジュール] をクリックします。
manage-resource-groups-7

5.3 レポートの生成

リソースグループのパスワード インベントリ、ポリシー コンプライアンス、パスワードの有効期限、パスワードの同期外れなどのレポートを生成するには、次の手順を実行します。

  1. [グループ] タブに移動し、リストからリソースグループを選択します。
  2. リスト ビューの上部にある [レポート生成] ボタンをクリックします。
  3. ドロップダウン リストから必要なレポートを選択して生成します。

PAM360 のレポートの詳細については、ここをクリックします。

5.4 リソースグループの削除

リソースグループを削除するには、[グループ] タブに移動し、目的のグループを選択して、リスト ビューの上部にある [グループ削除] をクリックします。