デフォルトの MBean セキュリティー・ポリシー
このトピックでは、デフォルトの管理対象 Bean (MBean) セキュリティー・ポリシーについて説明します。 ほとんどの場合、 MBean の開発者はセキュリティー・ポリシーを指定する必要はありません。
- 構成タイプ MBean
- ランタイム・タイプ MBean
- デプロイヤー・タイプ MBean
<MBean type="ConfigRepository"
version="5.0"
platform="common"
description="Management interface for the configuration repository."
configureMBean="true">
<MBean type="EJBModule" j2eeType="EJBModule"
version="5.0"
platform="dynamicproxy"
resourceIdentifierKey="Application"
resourceType="Application"
deployerMBean="true"
description="Management interface for the EJBModule component.">
WebSphere® Application Server の拡張ロール・ベースのアクセス制御は、ロールの継承をサポートしています。管理ロールには、管理者、コンフィギュレーター、オペレーター、デプロイヤー、およびモニターの 5 つがあります。 モニター・ロールは、最も特権が少ない管理ロールです。 モニター・ロールを付与されるユーザーは、WebSphere Application Server の構成およびランタイム状況を表示することはできますが、変更を行うことはできません。 他の管理ロールには、モニター・ロールと同じ特権に加えて、 それぞれ固有の特権セットがあります。
コンフィギュレーター・ロールには、WebSphere Application Server の構成データを変更する権限が与えられています。オペレーター・ロールには、 ランタイムの状態 (管理リソースの開始および停止など) を変更する権限が与えられています。 コンフィギュレーター・ロールではランタイム状況を変更することはできず、 逆にオペレーター・ロールでは、WebSphere Application Server の構成は変更できません。 管理者ロールには、 コンフィギュレーター・ロールとオペレーター・ロールが含まれるだけでなく、その両者を合わせたよりも多くの権限が与えられます。 管理者ロールでは、さらに、管理セキュリティー構成を変更することができます。 管理ロールの継承関係を簡単な図で表します。 デプロイヤー・ロールは、アプリケーション管理のコンフィギュレーター・ロールとオペレーター・ロールを組み合わせたものです。 デプロイヤー・ロールは、アプリケーションに対してコンフィギュレーターとオペレーターの両方の権限を持っています。 管理ロールの継承関係を図で表します。
- get メソッドのインパクト値は INFO で、 write メソッドのインパクト値は ACTION です。
- ConfigRepository MBean では、extract メソッドは構成データを変更せず、 そのインパクト値は INFO ですが、 modify メソッドのインパクト値は ACTION です。
- Java™ 仮想マシン (JVM) MBean (MBean のオペレーター・タイプ) では、ggetCurrentTimeInMillis メソッドのインパクト値は ACTION となります。
インパクト値が INFO である構成 MBean メソッドには、 モニター・ロールが必要です。 インパクト値が ACTION である構成 MBean メソッドには、 コンフィギュレーター・ロールが必要です。インパクト値が INFO であるデプロイヤー MBean メソッドには、 モニター・ロールが必要です。 インパクト値が ACTION であるデプロイヤー MBean メソッドには、デプロイヤー・ロールが必要です。管理ロールはすべてモニター・ロールでもあるので、どの管理ロールでも、インパクト値が INFO である構成 MBean メソッドとデプロイヤー MBean メソッドにアクセスできます。 管理者ロールはコンフィギュレーター・ロールでもあるので、 インパクト値が ACTION である構成 MBean メソッドにアクセスできます。
構成 MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。
メソッド・インパクト | モニター・ロール | オペレーター・ロール | コンフィギュレーター・ロール | デプロイヤー・ロール | 管理者ロール |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X |
オペレーション MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。
メソッド・インパクト | モニター・ロール | オペレーター・ロール | コンフィギュレーター・ロール | デプロイヤー・ロール | 管理者ロール |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X |
デプロイヤー MBean のデフォルトのセキュリティー・ポリシーを要約すると、 次の表のようになります。
メソッド・インパクト | モニター・ロール | オペレーター・ロール | コンフィギュレーター・ロール | デプロイヤー・ロール | 管理者ロール |
---|---|---|---|---|---|
INFO | X | X | X | X | X |
ACTION | X | X | X |
MBean の configureMBean 属性と deployerMBean 属性が、 ともに true に設定されている場合、すべてのアクションに必要なロールは、 コンフィギュレーターまたはモニターのいずれかです。 そのような MBean は、現在システムには定義されていません。