PAM360での共有と権限レベル

PAM360 は、アカウント、リソース、リソースグループを他のユーザーまたはユーザーグループと共有するための柔軟で詳細な制御メカニズムを提供します。リソースまたはリソースグループを共有すると、そのリソースまたはグループ内のすべての関連付けられたアカウントが自動的に共有アクセスに含まれます。

特権アカウントを厳密に制御するために、管理者はアカウント、リソース、リソースグループに対してさまざまな詳細な権限レベルを定義し、割り当てられた権限レベルに基づいてのみユーザーが共有パスワードを操作するようにすることができます。

PAM360 の共有機能を活用することで、組織は次のことが可能になります。

必要な権限レベルに基づいて、特権アカウントへのアクセスを制限および規制。
特権アカウントを厳密に制御しながら、ユーザーまたはユーザーグループが共有リソースにアクセス可能。
各レベルでの権限ベースのアクセス管理を通じて、組織のポリシーの遵守を確保。

1.特権リソースを共有するための権限レベル

管理者は、運用要件に合わせて、個々のユーザーまたはユーザーグループのアクセス権限をカスタマイズできます。PAM360 は、特権アカウントを安全に管理するために次の権限レベルを提供します。

リモートアプリのみ	パスワードを表示	パスワードを修正	フルアクセス
この権限レベルを持つユーザーまたはユーザーグループは、アカウントまたはリソースに関連付けられたリモートアプリにアクセスして使用できます。	この権限レベルを持つユーザーまたはユーザーグループは、共有アカウント、リソース、またはリソースグループのパスワードを使用できます。	この権限レベルを持つユーザーまたはユーザーグループは、共有アカウント、リソース、またはリソースグループのパスワードを変更できます。ただし、この権限では、ユーザーまたはユーザーグループ内のユーザーは、共有アカウント、リソース、またはリソースグループのその他の属性を変更することはできません。	この権限レベルを持つユーザーまたはユーザーグループは、共有アカウント、リソース、またはリソースグループを完全に管理できます。共有アカウント、リソース、またはリソースグループを他のユーザーと再共有することもできます。注記：Default Groupにこの権限を付与することはできません。

リモートアプリのみ

パスワードを表示

パスワードを修正

フルアクセス

この権限レベルを持つユーザーまたはユーザーグループは、アカウントまたはリソースに関連付けられたリモートアプリにアクセスして使用できます。

この権限レベルを持つユーザーまたはユーザーグループは、共有アカウント、リソース、またはリソースグループのパスワードを使用できます。

この権限レベルを持つユーザーまたはユーザーグループは、共有アカウント、リソース、またはリソースグループのパスワードを変更できます。ただし、この権限では、ユーザーまたはユーザーグループ内のユーザーは、共有アカウント、リソース、またはリソースグループのその他の属性を変更することはできません。

この権限レベルを持つユーザーまたはユーザーグループは、共有アカウント、リソース、またはリソースグループを完全に管理できます。共有アカウント、リソース、またはリソースグループを他のユーザーと再共有することもできます。

注記：Default Groupにこの権限を付与することはできません。

メモ：

リモートアプリのみの権限は、個々のアカウントまたはリソースに対してのみ付与できます。
PAM360は、WindowsとWindows Domainリソースのみで、リモートアプリをサポートしています。リモートアプリにアクセスできるのは、接続ユーザーとリモートアプリ権限を持つユーザーのみです。ユーザーの役割と権限の詳細については、ここをクリックしてください。
フルアクセス権限はリソースとリソースグループのみを対象としているため、個々のアカウントを共有する場合は 2 つの権限レベルのみ使用できます。

2.権限レベルについて優先度はどのように機能するのでしょうか？

PAM360 は、特権アカウントへのアクセスがきめ細かく安全であることを保証するため、厳格な権限階層を適用します。同じアカウントに対して、アカウント、リソース、またはリソースグループレベルで複数レベルの権限が割り当てられている場合、特定のルールによってどの権限が優先されるかが決定されます。以下は、PAM360 の権限階層を管理する主要な原則です。

アカウント、リソース、またはリソースグループが、さまざまな権限レベルを持つ任意のレベルのユーザーまたはユーザーグループと共有される場合、次のルールが適用されます：ユーザーが任意のレベルのアカウントに対するフルアクセス権限を受け取る場合、フルアクセスが付与されます。それ以外の場合、権限の優先順位は以下に解説するルールに従います。
個々のアカウントに設定された権限は、そのアカウントが属するリソース/リソースグループに設定された権限を上書きします。同様に、アカウントレベルでリソース内に存在するアカウントに権限が設定されない場合を除き、リソースに設定された権限は、そのリソースが含まれるリソースグループに設定された権限を上書きします。

メモ：
上記のシナリオは、アカウント、リソース、およびリソースグループが異なる権限レベルを持つユーザーおよびユーザーグループと共有されている場合にのみ機能します。
ユーザーの個別の権限レベルは、そのユーザーが属するユーザーグループに割り当てられている権限よりも優先されます。
たとえば、アカウント、リソース、またはリソースグループが、変更権限を持つ特定のユーザーと共有され、そのユーザーの表示権限を持つユーザーグループとも共有されている場合、そのユーザーはその特定のアカウント、リソース、またはリソースグループに対する変更権限を保持します。
同じアカウント、リソース、またはリソースグループが、それぞれ異なる権限レベルを持つ複数のユーザーグループと共有されており、ユーザーが複数のユーザーグループのメンバーである場合、PAM360 は階層的な権限評価を適用して、ユーザーの最終的なアクセスレベルを決定します。権限の階層は次の順序に従います。フルアクセス >> 表示 >> 変更。
- いずれかのユーザーグループがフルアクセス権限を取得すると、それらのすべてのグループの共通ユーザーにフルアクセス権限が割り当てられます。
- どのユーザーグループにもフルアクセス権限がない場合、PAM360 は表示権限をチェックし、次に変更権限をチェックします。

3.アカウント、リソース、リソースグループの共有

PAM360 でアカウント、リソース、リソースグループをユーザーおよびユーザーグループと共有する方法の詳細については、このドキュメントを参照してください。