RBAC のエレメント

オンライン編集

RBAC により、システム管理に対するロールの作成、およびロール・システム・ユーザー・セット全体にわたる管理用タスクの代行が可能になります。 AIX® では、RBAC は、通常ルート・ユーザーに予約されている管理機能を、通常のシステム・ユーザーに割り当てることができるメカニズムを提供します。

これを行うために、RBAC を使用して組織内にジョブ機能 (ロール) を定義し、それを特定のユーザーに割り当てます。基本的には、RBAC はフレームワークであり、ロールを使用することによってシステム管理用として許可されます。通常、ロールには環境に関する 1 つ以上の管理点をうまく取り扱うためのスコープについて定義されます。ロールをユーザーに割り当てることにより、許可セットまたは特権セットを効果的にユーザーに与え、ユーザーの能力を高めます。例えば、一方の管理ロールはファイルシステムの管理で、もう一方のロールはユーザー・アカウントの作成を使用可能にすることです。

RBAC管理には、従来のUNIX管理と比較して次のような利点がある：

アカウント・アクセスを共有しなくても、複数のユーザーがシステム管理を行うことができる。
各管理者には必要以上の権限を付与する必要がないため、細かい管理によりセキュリティーを分離して管理できる。
最小の特権セキュリティー・モデルの実行を可能にする。ユーザーおよびアプリケーションは必要な特権が必要になった場合のみ認可されます。したがって、システム・アタッカーから受けるインパクトを軽減できます。
システム管理およびアクセス制御に関して、一貫して会社全体にわたるセキュリティー・ポリシーの実装と実施を可能にする。
ロール定義を一度作成すると、ユーザーがジョブ機能を変更するときに、必要に応じてユーザーに割り当てたり、除去したりすることができる。

RBAC フレームワークは、以下の 3 つの中核概念を中心にしています。

権限
ロール
特権

同時に、これらの概念により RBAC システムが最小の特権方針を実施することを可能にします。