ノードの分類とユーザー許可の割り当て

Included in Puppet Enterprise 2017.2.

このクイックスタートガイドでは、新しいユーザロールを作成し、「クラス追加に関するクイックスタートガイド」で作成したノードグループを閲覧するパーミッションを、そのロールに割り当てます。
また、新しいローカルユーザを作成し、そのユーザにユーザロールを割り当てます。

PEでは、ユーザユーザグループをコンソールから作成および管理することができます。
ユーザのロール(役割)を作成し、各ユーザをそれらのロールに割り当てることも可能です。
ノードグループの閲覧、コードのデプロイ、パスワードリセットトークンの生成などを許可するパーミッションは、ユーザに直接割り当てるのではなく、ユーザロールに割り当てます。
ユーザやユーザグループに対してロールを割り当てると、より組織的にパーミッションを付与できます。

基本的なRBACワークフローの作成

Puppet Enterpriseでは、ロールベースのアクセス制御(RBAC)を使用してユーザパーミッションを管理します。
パーミッションは、指定されたオブジェクトに対してユーザが実行できるアクションを定義したものです。
RBACワークフローには複数のステップが含まれており、個別の要件に合わせて調整することができます。

開始する前に、以下をインストールしていることを確認します。

注意:ロールはコンソールではなく、APIで削除可能です。
そのため、これらの手順については、仮想マシンで試してみることを推奨します。

ステップ1:ユーザロールを作成する

ユーザロールは、複数のユーザに適用できるパーミッションセットです。
Puppet Enterpriseでは、単一ユーザに対してパーミッションを割り当てることはできません。ユーザロールに対してのみ割り当て可能です。
  1. コンソールでユーザロールの順にクリックします。
  2. [名前]にWeb開発者と入力し、[説明]にはWeb開発チームのメンバーなどのWeb開発者の役割の説明を入力します。
  3. ロールを追加をクリックします。

ステップ2:ノードグループにユーザロールアクセスを追加する

ユーザロールに付与できるパーミッションの1つに、ノードグループへのアクセス(表示、作成、編集)権限があります。
  1. [ユーザロール]ページで[Web開発者]を選択し、[パーミッション]タブをクリックします。
  2. タイプボックスでノードグループを選択します。
  3. パーミッションボックスで表示を選択します。
  4. [オブジェクト]ボックスで[apache_example]を選択します。
  5. パーミッションを追加をクリックし、変更を保存ボタンをクリックします。

これで、Web developersのメンバーに、apache_exampleノードグループを閲覧する許可が与えられました。

ステップ3:新しいユーザを作成する

この手順では、新しいローカルユーザを作成する方法を実践します。
また、外部ディレクトリからユーザおよびグループをインポートすると、ユーザを1つずつ再作成する必要がなくなります。
  1. コンソールでユーザの順にクリックします。
  2. フルネームフィールドにユーザ名を入力します。
  3. ログインフィールドにユーザのログイン情報を入力します。
  4. ローカルユーザを追加をクリックします。

ステップ4:新規ユーザのログインを有効化する

新しいローカルユーザを作成する際には、初回にログインするためのパスワードリセットトークンをユーザに送付する必要があります。
  1. ユーザリストの新しいローカルユーザをクリックします。新しいユーザのページが開きます。
  2. ページの右上のパスワードリセットを生成をクリックします。パスワードリセットリンクメッセージボックスが開きます。
  3. メッセージに表示されているリンクをコピーし、新しいユーザに送付します。その後、メッセージを閉じてもかまいません。

ステップ5:新規ユーザにユーザロールを割り当てる

ユーザがPuppet Enterpriseにログインして使用できるようにするには、1つ以上のロールを割り当てる必要があります。
ユーザにロールを追加すると、このロールに適用されているパーミッションがユーザに付与されます。
  1. ユーザロールをクリックし、Web開発者をクリックします。
  2. メンバーユーザタブのユーザ名リストで、作成した新しいユーザを選択したら、ユーザを追加をクリックして変更を保存ボタンをクリックします。

これで、RBACでユーザを管理できるようになりました。
パーミッションとユーザロールを使えば、PEを使用する各ユーザやユーザグループに適切なレベルのアクセスや活動を付与することができます。

次は、独自モジュールの記述に関する基本を説明します。独自のモジュールを記述すれば、デプロイのカスタマイズなどの作業ができるようになります。

↑ Back to top