ロールの管理

ロールの概要

Tanium™ RBACのコンテキストにおいて、ロール割り当ては、許可されたアクティビティを指定するためのアクセス権限の付与、または禁止されたアクティビティを指定するためのアクセス権限の拒否を行います。管理者はユーザやユーザグループ、ペルソナにロールを割り当てることで、Tanium Core Platformでユーザが表示および実行できることを制御します。

LDAP またはactive directory(AD) サーバからユーザおよびユーザグループをインポートする計画の場合、ロールの設定または割り当て前にそれを行ってください。詳しくはLDAPサーバとの統合を参照してください。

Tanium実装版のRBACでは、付与または拒否するアクセス権限の種類に基づく以下のロールカテゴリを使用することができます。

micro adminのロール

micro adminのロールでは、分離Tanium Consoleサブネットの構成などの、Tanium Core Platformでの管理アクティビティに対するアクセス権限を付与したり、拒否したりできます。「マイクロ管理者のロールを作成する」を参照してください。

カスタムロール

カスタムロールは、運用管理、プラットフォームコンテンツ、モジュール、グローバルアクセス権限の組み合わせの付与/拒否に作成するロールです。「カスタムロールを設定する」を参照してください。

モジュールロール

モジュールロールは、モジュールのワークベンチ、機能、およびコンテンツセットに対するアクセスを制御するモジュール権限を付与/拒否する定義済みロールです。一部のモジュールアクセス権限によって追加的に提供済みアクセス権限が自動的に有効化されます。たとえば、Patch Module Write (Patchモジュールの書き込み)アクセス権限は、Ask Dynamic Question (ダイナミックQuestionの実行)アクセス権限が自動的に付与されます。定義済みモジュールロールを編集および削除することはできません。

モジュールロールは、モジュールのワークベンチ、機能、およびコンテンツセットに対するアクセスを制御するモジュール権限を/拒否するです。モジュールロールには、権限拒否ロールはありません。モジュールアクセス権を付与するロールを持たないユーザが、モジュールのワークベンチや機能にアクセスすることはできません。一部のモジュールアクセス権限によって追加的に提供済みアクセス権限が自動的に有効化されます。たとえば、モジュールロールPatch Module Write (Patchモジュールの書き込みアクセス権限を付与すると、自動的にAsk Dynamic Questions (ダイナミックQuestionの実行)アクセス権限を伴います。

高度なロール

高度なロールは、センサーやパッケージ、保存済みQuestion、その他、すべてのTaniumモジュールと共有サービスに適用されるコンテンツに対するアクセス権を制御するプラットフォームコンテンツアクセス権限を付与/拒否する定義済みのレガシーロールです。定義済み高度なロールを編集および削除することはできません。

高度ロールでは、センサー、パッケージ、保存保存済みQuestion、その他すべてのTaniumモジュールに適用されるコンテンツに対するアクセス権を制御するコンテンツセット権限を付与したり、拒否したりできます。

予約済みロール

定義済み予約ロールでは、[Administration (運用管理) > [Content (コンテンツ)] > [Question History (Question履歴)][Administration (運用管理)] > [Management (管理)] > [Question History (Question履歴)] ページからのQuestionの読み込みなど、特別な目的の機能に対するアクセス権限を割り当てます。これらの特別なアクセス権限は、予約されていないロールには使用できません。予約ロールには、特別なアクセス権限に加えてその他のロールカテゴリにに関連するアクセス権限の一部またはすべてを持たせることができます。予約ロールを編集および削除することはできません。詳しくは、「予約済みロール」を参照してください。

次の図は、各種ロールの設定変更可能なコンポーネントとそれらコンポーネントの割り当て順序を示しています。

図1:ロール設定
図2:ロール設定

ロールと、コンテンツセットやペルソナ、ユーザ、ユーザグループ、コンピュータグループなどの他のRBAC構成オブジェクトとの関係についての概要は、「Tanium RBACの実装および概念」を参照してください。

ロールには、ユーザとユーザグループとの多対多の関係があります。たとえば、すべてのTanium InteractユーザはInteract Showモジュールロールを持つことができ、それらのユーザはそれぞれ、Interactで使用するセンサーやQuestionへのアクセス権を提供する追加のカスタムロールを持つことができます。同様に、複数のロールに対して同じコンテンツセットのアクセス権限を設定でき、各ロールで複数のコンテンツセットにアクセス権限を指定できます。

ロールを設定する際のベストプラクティスとして、ユーザのアクセス権限に対するモジュール性と累積効果を最大限に活用します。たとえば、特定のユーザが必要とするすべてのアクセス権限を持つ単一のロールを作成し、また別のユーザにおいてほんのわずかに異なるアクセス権限を持つ別のロールを作成する代わりに、より小さいものの一意のアクセス権限セットを持ついくつかのロールを作成します。さまざまなユーザにおいてこれらのミニマリスティックなロールをうまく組み合わせ、包括的なアクセス権限を持つ個々のロールと同じ有効なアクセス権限を達成できます。詳しくは有効なロールのアクセス権限を参照してください。

Write Package (パッケージの書き込み)などの書き込みアクセス権限を割り当てるロールは、Read Package (パッケージの読み取り)などの読み取りアクセス権限を暗黙で割り当てます。詳しくは暗黙のアクセス権限を参照してください。

ユーザは、割り当てられたユーザグループからロールを継承します。詳しくは継承済みロールを参照してください。

特定のTanium Consoleセッションの場合、複数のペルソナがユーザに割り当てられていても、そのユーザは現在選択されているペルソナのアクセス権限のみ利用できます。詳しくはペルソナの管理を参照してください。

ロールを追加、編集、削除するには、AdminnistratorまたはContent Set Administrator予約ロール、またはアクセス権限管理者アクセス権限を持つカスタムロールが必要です。ただし、Content Set Administratorがユーザまたはユーザグループに対するペルソナまたは予約ロールの割り当てを管理することはできません

ロールによって、Questionを発行またはアクションを展開する時にユーザが対象に選択したコンピュータ管理グループ(「コンピュータグループの管理」を参照)やアクショングループ(「アクショングループの管理を参照)に対するアクセス権を制御しません。ただし、ロールは、コンピュータグループ構成やアクショングループ構成の管理に必要なアクセス権限を制御します。

ロールの付与と拒否

1人のユーザまたは1つのユーザグループに複数の権限付与および権限拒否ロールを割り当てることができます。TaaSTanium Serverでは、ユーザまたはグループの実効アクセス権限は、そのユーザまたはグループに割り当てられているすべてのロールの累積結果、つまり、付与または暗黙のすべてのアクセス権限から明示的に拒否されたアクセス権限を差し引いた結果に依拠します。

ユーザまたはユーザグループの実効アクセス権限は、Tanium Consoleで確認することができます。「有効なロールのアクセス権限」を参照してください。

カスタム 高度な ロールで権限付与アクセス権限を拒否するには、ロール拒否のアクセス権限およびコンテンツセットがロールの付与のアクセス権限およびコンテンツセットと一致する必要があります。次の例の、コンテンツセットAに対するWrite Package (パッケージの書き込み)アクセス権限の拒否では、コンテンツセットAに対するWrite Package (パッケージの書き込み)アクセス権限に一致しているため、付与系アクセス権限は拒否されます。

図3:コンテンツセットのアクセス許可に対する付与および拒否ロール(一致あり)

次の例のコンテンツセットDに値する付与系Write Package (パッケージの書き込み)アクセス権限の拒否は、付与系アクセス権限とも一致しません。このため、拒否系アクセス権限はそのユーザの実効アクセス権限に影響しません。

図4:コンテンツセットのアクセス許可に対する付与ロールと拒否ロール(一致なし)

カスタムロール 高度なロール/モジュールロール でのコンテンツセットのアクセス権限への割り当てでは、Add all Content Sets that exist or will exist to the permissionsオプションはすべてのコンテンツセットを一覧表示することと同等になります。次の図は、コンテンツセットDに対する拒否系Write Package (パッケージの書き込み)アクセス権限が機能する例を示しています。

図5:すべてのコンテンツセットオプションを追加する

一致する権限の付与/拒否は、管理権限にも適用されます。 権限付与/権限拒否micro adminロールは、高度なロールと同じルールに従います 。次の例のユーザには、管理アクセス権限を指定したがあります。TaaSTanium Serverは、アクセス権限の付与と拒否の両方に完全に一致するものを除外します。ユーザは、ロールの付与が指定する機能のすべてから、権限拒否ロールが指定する機能を引いたすべての機能を持ちます。

図6: 運用管理 micro admin アクセス権限に対するロールの付与とロール拒否

モジュールロールでアクセス権限を拒否することはできません。アクセス権限を付与できるだけです。モジュールアクセス権を付与するロールがないユーザが、モジュールワークベンチや機能にアクセスすることはできません。

暗黙のアクセス権限

付与ロールでは、書き込みアクセス権限は、必ず、関連した読み取りアクセス権限も付与されることを意味します。 次の例の、EricとGraceに割り当てられたカスタム高度なロールには、指定されたコンテンツセットに対するパッケージの書き込みアクセス権限があり、このため、設定でパッケージの読み取りアクセス権限を指定する必要はありません。この例のBobのように、読み取り専用のアクセス権限を必要とするユーザには、同じコンテンツセットに対してパッケージの読み取りアクセス権限のみを持つロールを作成します。

図7:ErinとGraceは、事実上、読み取りと書き込み両方のアクセス権限を持ちます

権限拒否ロールが暗黙のアクセス権限を持つことはありません。 権限拒否ロールが有効であるためには、明示的にアクセス権限を指定する必要があり、そのアクセス権限は、付与ロールで指定するアクセス権限と完全に一致する必要があります。たとえば、拒否ロールで、コンテンツセットに対するパッケージの書き込みアクセス権限の拒否が指定されていても、そのロールでパッケージの読み取りアクセス権限が暗黙で拒否されることはありません。次の例の拒否ロールのアクセス権限は、権限付与ロールのアクセス権限と完全には一致していません。このため、拒否ロールは無視され、Bobは指定コンテンツセットに対するパッケージの読み取りアクセス権限を引き続き保持します。

図8:事実上、Bobに読み取りアクセス許可がある

継承済みロール

ユーザは、ユーザグループのロールのアクセス権限を継承します。次の例では、EricはNOCユーザグループに割り当てられているロールのアクセス権限を継承します。Ericはまた、自分のユーザ アカウントに直接割り当てられているアクセス権限を持っています。TaaSTanium Serverは最終的な結果を適用します。この例では、Ericはユーザ グループから分離サブネットの書き込みアクセス権限と分割サブネットの書き込みアクセス権限を継承しますが、自分のユーザアカウントに直接割り当てられている拒否ロールによってそれらのアクセス権限は無効になります。BobとGraceのアカウントには権限拒否ロールが割り当てられていないため、両者は、分離サブネットの書き込みアクセス権限や分割サブネットの書き込みアクセス権限を含めて、ユーザグループから継承されるすべてのアクセス権限を持ちます。

図9:ロールの継承

予約済みロール

Tanium定義の予約ロールでは、[Administration (運用管理)] > [Content (コンテンツ)] > [Question History (Question履歴)][Administration (運用管理)] > [Management (管理)] > [Question History (Question履歴)] ページからのQuestionの読み込みなど、特別な目的の機能に対するアクセス権限を割り当てます。これらのアクセス権限は暗黙であるため、編集および削除したりすることはできず、非予約ロールからは使用できません。予約ロールには、特別なアクセス権限に加えて、他の高度なロール、micro adminロール、モジュールロールに関連する一部またはすべてのアクセス権限を持たせることができます。次のセクションの説明に従って、予約ロールと非予約ロールの両方をユーザやユーザグループに割り当てると、特殊なロジックが適用されます。

Admin予約ロール

Admin予約ロールには、すべてのコンテンツ、すべてのモジュール、すべての共有サービス、すべての管理機能に対するすべてのアクセス権限を持ちます。このロールを割り当てると、他の付与ロールは不要であり、以下の例外を除き権限拒否ロールは何の働きもしません。

  • Bypass Action Approval (アクションの承認をバイパス): アクションの承認をバイパスアクセス権限を持つカスタムロールは、Admin予約ロールを持つユーザに割り当てられたときに意味を持ちます。 デフォルトでは、Admin予約ロールにはこのアクセス権限はありません。承認のバイパスは慎重に扱うべき性質であるため、どのようなケースでも、このアクセス権限は明示的に割り当てる必要があります。
  • Deny All (すべて拒否): 予約済みロールを[Deny All (すべて拒否)]するは、Admin予約ロールのすべてのアクセス権限を取り消します。

Tanium as a Service (TaaS)展開環境のセットアップでは、Adminロールを使用して初期管理者アカウントが作成されます。このアカウントを使用して、Adminロールを必要とする他のユーザを含めて、他のすべてのユーザのRBACを構成設定することができます。

図10:Admin予約ロール

管理者予約済みロール

管理者ロールは、あらゆるコンテンツ、モジュール、管理機能に対する完全なアクセス権限を保有しています。このロールを割り当てると、他の付与ロールは不要であり、以下の例外を除き権限拒否ロールは何の働きもしません。

  • Bypass Action Approval (アクションの承認をバイパス): アクションの承認をバイパスアクセス権限を持つ高度なロールは、Administrator予約ロールを持つユーザに割り当てられたときに意味を持ちます。 デフォルトでは、管理者予約ロールにはこのアクセス許可がありません。承認のバイパスは慎重に扱うべき性質であるため、どのようなケースでも、このアクセス権限は明示的に割り当てる必要があります。
  • Deny All (すべて拒否): 予約済みロールを[Deny All (すべて拒否)]するは、Administrator予約ロールのすべてのアクセス権限を取り消します。
図11:管理者予約済みロール

コンテンツセット管理者予約済みロール

Content Set Administratorロールでは、ユーザおよびユーザグループ構成でのロール割り当てをはじめとして、コンテンツセットおよびロール構成の読み取り/書き込みアクセス権限を割り当てます。このロールがあると、他のすべての付与ロールが不要になります。予約済みロールを[Deny All (すべて拒否)]するは、Content Set Administratorロールを持つユーザに影響を与えることができる唯一のロールです。

図12:コンテンツセット管理者予約済みロール

コンテンツセット管理者と管理者ロールの両方を割り当てたときの結果に注目してください。意味があるのは、コンテンツセット管理者ロールだけです。他のロールを持たなければならないユーザにContent Set Administrator ロールを割り当てないよう注意してください。管理者ロールが割り当てられているユーザにContent Set Administrator ロールを(直接またはユーザグループ継承によって)割り当てないよう注意してください。

Content Administrator予約済みロール

Content Administratorロールは、あらゆるコンテンツセットに対する読み取り/書き込みアクセス権限のほか、アクション管理アクセス権限を付与します。Tanium ServerによるContent Administratorロールを持つユーザに対する実効アクセス権限の評価では、サーバは割り当てられているモジュールロールとmicro adminロールを評価しますが、高度なロールは無視します。

図13:Content Administrator予約済みロール

予約済みロールを[Deny All (すべて拒否)]する

Deny All (すべてを拒否)ロールを持つユーザは、Administrator予約ロールを含めて、そのユーザに割り当てられている他のロールに関係なく、Tanium Core Platform上の何にもアクセスできません。次の例では、フランクに割り当てられたロールの中で意味があるのはすべて拒否だけです。

図14:すべて拒否

予約済みのロールを要求するタスク

次のタスクを実行するには、マイクロ管理者ロールに割り当てが可能なマイクロ管理者アクセス権限にタスクが関連付けられていないため、予約済みのロールを保有していなければなりません。

 表1:予約済みのロールを必要とするタスク
タスク Administrator Content Administrator Content Set Administrator
コンテンツの編成管理

[Administration (運用管理)] > [Content (コンテンツ)] > [ Content Alignment (コンテンツの編成)] ページを使用してモジュール別コンテンツを適切なモジュールのコンテンツセットに移動することができます。

チェックマーク X X
コンテンツセットを管理する

コンテンツセットの設定を作成、変更、削除します。

チェックマーク X チェックマーク
ロール構成と割り当ての管理

ロールを編集し、ユーザ、ユーザ グループ、ペルソナのロール割り当てを編集します。

チェックマーク X チェックマーク
ペルソナを管理する

ペルソナを作成、編集、割り当て、削除します。

チェックマーク X X
Taniumソリューションの管理

Taniumのモジュール、コンテンツパック、Tanium Consoleユーザインターフェイスの更新をインポートします。ラボコンテンツの表示とインポート

チェックマーク X X
Tanium Core Platformの構成管理

[Administration (運用管理)] > [Configuration (構成)] の任意のページを表示または管理します。プロキシ設定、ログレベル、プラグインスケジュール、センサーしきい値インジケータ、パッケージファイルリポジトリ、Tanium Clientのサブネット、帯域幅スロットル、Taniumのライセンス、Taniumのルートキー、Tanium Core Platformサーバ間の信頼関係、LDAPサーバ、SAML、Tanium Consoleのカスタマイズなどのページがあります。

チェックマーク X X
Question履歴からのQuestionの読み込み

[Administration (運用管理)] > [Management (管理)] > [Question History (Question履歴)] ページからQuestionを読み込みます。

チェックマーク X X
Interactのカテゴリの管理

[Other Dashboards (その他のダッシュボード)] カテゴリを読み取って管理します。

チェックマーク チェックマーク X

有効なロールのアクセス権限

ユーザの実行アクセス権限は、以下を含む、割り当て済みと継承のすべてのロールの累積結果に基づいています。

  • ロールの付与において指定されたアクセス権限から拒否ロールにおいて指定されたアクセス権限を差し引き
  • ロールの付与における暗黙的なアクセス権限
  • Tanium Consoleセッション用に選択したペルソナに割り当てられているロール
  • ユーザグループに割り当てられ、その後、ユーザがTanium Consoleセッション向けに選択したペルソナから継承したロール

ユーザおよびユーザグループ構成のページの、[Permissions (アクセス権限)] セクションでは、次のアイコンで実行アクセス権限が示されます。

明示的アクセス権限 明示的に割り当てる必要がある権限を付与します。
超明示的アクセス権限 明示的に割り当てる必要があり、かつ、依存関係のために追加の権限を自動または暗黙で提供する権限付与アクセス権限。たとえば、Interactモジュールの書き込みアクセス権限を割り当てると、自動的にAsk Dynamic Questions (ダイナミックQuestionの実行)アクセス権限が提供されます。たいていの書き込みアクセス権限(Write Package (パッケージの書き込み)など)には、暗黙で読み取りアクセス権限(Read Package (パッケージの読み取り)など)が含まれます。
超明示的アクセス権限 アクセス権限を拒否します。
図15:有効なアクセス許可

Admin予約ロールを割り当てると、ユーザとユーザグループの構成ページのグローバルアクセス権限にその予約ロールが表示されます。 Administrator、Content Admiistrator、Content Set Administrator予約ロールを割り当てると、ユーザとユーザグループの構成ページのグローバルアクセス権限にそれらの予約ロールが表示されます。 ただし、編集モードでカスタムロールの構成ページを表示した場合、予約ロールの割り当てはできないため、グローバルアクセス権限は非表示になります。

展開モジュールコンテンツ権限、プラットフォームコンテンツ権限グローバル権限はそれぞれ展開して、権限が適用されるコンテンツセットを一覧表示できます。

明示的アクセス権限 アクセス権限に明示的に割り当てられるコンテンツセット。
超明示的アクセス権限 別のアクセス権限で暗示または自動で割り当てられるコンテンツセット。

ユーザおよびユーザグループの構成ページにはまた、割り当てられているコンテンツセットがコンテンツタイプ別にも一覧表示されます。暗黙または自動で提供されたアクセス権限のアイコンにカーソルを重ねると、明示的なアクセス権限からのその権限アクセス権限の由来を示すツールヒントが表示されます超明示的アクセス権限

図16:アクセス権限コンテンツセット割り当て

実効アクセス権限を確認するには、以下の手順に従います。

ユーザおよびユーザグループ設定ページには、Tanium Serverが実効アクセス権限を導出する方法を解説した[Roles and Effective Permissions (ロールと実効アクセス権限)] セクションがあります。

図17:有効なアクセス許可

ロールセクションで、継承ロールのタイル上にカーソルを合わせると継承元のユーザグループを確認できます。 ロールのタイルをクリックすると、、アクセス許可セクションの関連するアクセス許可が強調されます。[All Roles (すべてのロール)]タイルをクリックすると、強調表示なしにアクセス許可が再表示されます。

ロールの詳細を表示する

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。

    このページには、各ロールの名前とカテゴリ、ロールが割り当てられているユーザ、ユーザ グループ、ペルソナ数が表示されます。[Total User (合計ユーザ数)] 列は、ユーザアカウントでロールを割り当てられているすべてのユーザ数、またはユーザグループからそのロールを継承しているすべてのユーザ数の合計を示します。

  2. (任意) デフォルトでは非表示の属性を表示するには、[Customize Column (列のカスタマイズ)] 列をカスタマイズするをクリックして、その属性を選択します。
  3. (任意) 特定のロールを探すには、フィルタを利用します。
    • Filter by text (テキストでフィルタ): 列の値でグリッドをフィルタリングするには、[Filter items (フィルタ項目)] フィールドにテキスト文字列を入力します。
    • Filter by attribute (属性でフィルタ)ロール名などの属性でグリッドをフィルタリングします。展開[Filters (フィルタ)] セクションを展開し、追加[Add (追加)] をクリックします。続けて、属性と演算子を選択し、属性値のすべてまたは一部を含むテキスト文字列を入力して、[Apply (適用)] をクリックします。複数の属性フィルタを追加すると、Boolean AND演算子が適用されます。属性の指定を終えたら[Apply All (すべて適用)] をクリックしてグリッドをフィルタリングします。
  4. (任意) ロールに割り当てられている権限、ペルソナ、ユーザ、ユーザグループを表示するには、[Role Name (ロール名)] をクリックします。

    割り当て済みユーザまたはユーザ グループの構成を表示または編集するには、そのユーザまたはグループ名をクリックします。

カスタムロールを設定する

運用管理やプラットフォームコンテンツ、モジュールアクセス権限を割り当てるカスタムロールは、作成したり編集したりできます。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. 次のいずれかの手順を実行します。
    • ロールを作成するには、[New Role (新規ロール)] をクリックします。
    • ロールを編集するには、[Role Name (ロール名)] をクリックし、[Edit Mode (編集モード)] をクリックします。
  3. ロールを識別するロール名を指定します。
  4. [Permission Type (アクセス権限種別)] をAllow (付与)またはDeny (拒否)に設定します。

    [Permissions (アクセス権限)] セクションには、[Special (特別)]、[Read (読み取り)]、[Write (書き込み)]、[Execute (実行)]、[Delete (削除)] 列のアイコンをクリックすることで、割り当てることがすべての権限が表示されます。列ヘッダーのアイコンをクリックすると、そのタイプのすべてのアクセス権限を選択することができます。たとえば、[Administration (運用管理)] アクセス権限ヘッダーで、[Special (特別)] アイコンをクリックすると、使用可能な特別な管理アクセス権限のすべてが割り当てられます。リストには、権限が未割り当てであることを示す灰色のアイコンと、割り当て済みであることを示す以下の色付きアイコンがあります。

    明示的アクセス権限明示的に割り当てる必要があるアクセス権限。
    超明示的アクセス権限明示的に割り当てる必要があり、かつ、依存関係のために追加のアクセス権限を自動または暗黙で提供するアクセス権限。たとえば、Interactモジュールの書き込みアクセス権限を割り当てると、自動的にAsk Dynamic Questions (ダイナミックQuestionの実行)グローバルアクセス権限が提供されます。たいていの書き込みアクセス権限(Write Package (パッケージの書き込み)など)には、暗黙で読み取りアクセス権限(Read Package (パッケージの読み取り)など)が含まれます。
    暗黙のアクセス権限別のアクセス権限との依存関係があるため、または上位のアクセス権限との暗黙の関係で自動的に有効になるアクセス権限。
    この手順の後の手順では、コンテンツに関連付けられているアクセス権限にコンテンツセットを割り当てる方法を説明しています。

    ロールをペルソナに割り当てる方法については、「ペルソナに対するロール割り当てを管理する」を参照してください。

  5. (任意) ユーザ割り当てを管理するには、展開[Users (ユーザ)] セクションを展開して、[Manage Users (ユーザの管理)] をクリックし、ユーザを選択または選択解除して、[Select (選択)] をクリックします。
    すでにユーザに割り当てられているロールを編集する場合は、[Role Details (ロールの詳細)] セクションの [Users (ユーザ)] フィールドの上の番号をクリックし、[Users (ユーザ)] セクションまでスクロールして展開します。

    特定のユーザの構成を表示または編集するには、[Users (ユーザ)] セクションでそのユーザの名前をクリックします。新しいタブで [Edit User (ユーザの編集)] ページが表示されます。

  6. (任意) ユーザグループ割り当てを管理するには、[展開User Groups (ユーザグループ)] セクションを展開して、[Manage User Groups (ユーザグループの管理)] をクリックし、グループを選択して、[Select (選択)] をクリックします。
    すでにユーザに割り当てられているロールを編集する場合は、[Role Details (ロールの詳細)] セクションの [User Groups (ユーザグループ)] フィールドの上の番号をクリックし、[User Groups (ユーザグループ)] セクションまでスクロールして展開します。

    特定のグループの設定を表示または編集するには、[User Groups (ユーザグループ)] セクションでグループの名前をクリックします。新しいタブで [Edit User Group (ユーザグループの編集)] ページが開きます。

  7. Open (有効期間内)[Administration (運用管理)] セクションを展開し、ロールに必要な次のアクセス権限のいずれかを選択します。

    Tanium Consoleですべての管理タスクを実行できるロールを作成するには、アクセス権限管理者ユーザの書き込みユーザグループの書き込みユーザグループの書き込みペルソナの書き込みアクセス権限を割り当てます。Admin予約ロールには、これらすべてのアクセス権限があります。

     表2:管理アクセス権限
    アクセス権限説明
    アクセス権限管理者次の管理アクセス権限をまとめて提供します。
    • Read User (読み取りユーザ)
    • Read User Group (ユーザグループの読み取り)
    • 読み取りロール
    • 書き込みロール
    • ロールを付与
    • コンテンツセットの読み取り
    • コンテンツセットの書き込み
    • ペルソナの読み取り
    アクショングループ読み取りアクセス権限により、ユーザは [Scheduled Actions (スケージュール済みアクション] ページでアクショングループ設定を表示およびエクスポートできます。

    書き込みアクセス権限により、ユーザはアクショングループ設定を作成、編集、削除できます。書き込みアクセス権限は、暗黙でRead Action Group (アクショングループの読み取り)アクセス権限を伴います。

    許可URL読み取りアクセス権限により、ユーザは [Allowed URL (許可URL)] ページでURLの許可設定を表示したり、CSV形式で設定をエクスポートしたりできます。JSON形式でエクスポートするには、コンテンツのエクスポート管理アクセス権限が必要です。

    書き込みアクセス権限により、ユーザは許可URL設定を作成、編集、削除できます。書き込み権限は、暗黙で許可URLの読み取りアクセス権限を伴います。

    監査読み取りアクセス権限により、ユーザは以下を表示できます。
    • [Users (ユーザ)] ページの最終サインイン情報
    • ユーザ構成ページの最終変更情報
    • [Global Settings (グローバル設定)]ページの最終変更情報
    コンピュータグループ読み取りアクセス権限により、ユーザはコンピュータ管理グループを表示したり、CSV形式でエクスポートしたりできます。JSON形式でエクスポートするには、コンテンツのエクスポートアクセス権限が必要です。

    コンピュータ管理グループのユーザ グループ、ユーザ、ペルソナの割り当てを表示するには、その他のアクセス権限も必要です。「コンピュータ管理グループを管理する」を参照してください。

    書き込みアクセス権限により、ユーザはコンピュータ管理グループとフィルタグループを作成、編集、削除できます。書き込みアクセス権限は、暗黙でコンピュータグループの読み取りフィルタグループの書き込みアクセス権限を伴います。

    メンバーシップがセンサーフィルタに基づくコンピュータ管理グループまたはフィルタグループを作成するには、コンピュータグループの書き込みに加えて次のアクセス権限が必要です。

    • プレビューQuestionの実行に使用されるコンテンツを含む予約済みコンテンツセットに対するセンサーの読み取り(プラットフォームコンテンツ)アクセス権限。
    • Interactモジュールの書き込み(モジュール)アクセス権限。

    メンバーシップが手動で定義されたコンピュータグループには、センサーの読み取りおよびInteractモジュールの書き込みアクセス権限は必要ありません。

    コンテンツのエクスポート次の種類のコンテンツをJSON形式でエクスポートできます。
    • 許可URL
    • コンピュータ管理グループ
    • コンテンツセット
    • フィルタグループ
    • パッケージ
    • ロール
    • 保存済みQuestion
    • Scheduled actions (予定済みアクション)
    • センサ

    カテゴリとダッシュボードをエクスポートできるのは、Administrator予約ロールだけです。

    [Import Signed Content (署名済みコンテンツのインポート)]デジタル署名付きのコンテンツファイルをTanium Serverにインポートできます。
    グローバル帯域幅スロットル読み取りアクセス権限により、ユーザは [Bandwidth Throttles (帯域幅スロットル)] ページでグローバル帯域幅スロットルを表示できます。

    書き込みアクセス権限により、ユーザはグローバル帯域幅スロットルを作成、編集、削除できます。

    グローバル設定読み取りアクセス権限により、ユーザは [Platform Settings (プラットフォーム設定)] ページでTanium Core PlatformサーバとTanium Clientのグローバル設定を表示できます。

    書き込みアクセス権限により、ユーザはグローバル設定を作成、編集、削除できます。書き込みアクセス権限は、暗黙でRead Global Settings (グローバル設定の読み取り)アクセス権限を伴います。

    隔離サブネット読み取りアクセス権限により、ユーザは [Administration (運用管理)] >  [Configuration (構成)] > [Subnets (サブネット)] ページで、分離クライアントサブネット構成を表示およびエクスポートできます。

    書き込みアクセス権限により、ユーザは分離クライアントサブネット構成を作成、編集、削除できます。書き込みアクセス権限は、暗黙で分離サブネットの読み取りアクセス権限を伴います。

    ペルソナ読み取りアクセス権限により、ユーザはペルソナ構成を表示およびエクスポートできます。アクセス権限管理者アクセス権限には、暗黙でペルソナの読み取りアクセス権限を伴います。

    書き込みアクセス権限がアクセス権限管理者アクセス権限と組み合わさると、ユーザはペルソナを作成、編集、削除できます。書き込みアクセス権限は、暗黙でRead Persona (ペルソナの読み取り)アクセス権限を伴います。

    ペルソナへの他のRBACオブジェクト(ユーザなど)の割り当てを編集するには、その他の権限も必要です(「ペルソナを管理する」を参照)。

    公開鍵読み取りアクセス権限により、Tanium REST APIのユーザはTanium公開キー(tanium.pub)または初期化ファイル(tanium-init.dat)をダウンロードできます。

    Tanium Consoleを使用して [Infrastructure (インフラストラクチャ)] ページにアクセスしてそれらファイルをダウンロードできるのは、Administrator予約ロールだけです。

    Question履歴読み取りアクセス権限により、ユーザは [Question History (Question履歴)] ページを表示できます。

    [Question History (Question履歴)] ページからQuestionを発行するには、対応するコンテンツセットに対するプラットフォームコンテンツのアクセス権限も必要です。

    分割サブネット読み取りアクセス権限により、ユーザは、[Subnets (サブネット)] ページで分割クライアントサブネット構成を表示およびエクスポートできます。

    書き込みアクセス権限により、ユーザは分離クライアントサブネット構成を作成、編集、削除できます。書き込みアクセス権限は、暗黙で分割サブネットの読み取りアクセス権限を伴います

    サーバのステータス読み取りアクセス権限により、ユーザはhttps://<Tanium_Server>/infoページを表示できます。詳細については、情報ページを表示するを参照してください。
    サブネットの帯域幅スロットル読み取りアクセス権限により、ユーザは [Bandwidth Throttles (帯域幅スロットル)] ページでサイト別の帯域幅スロットルを表示できます。

    書き込みアクセス権限により、ユーザはサイト別の帯域幅スロットルを作成、編集、削除できます。

    クライアントステータス読み取りアクセス権限により、ユーザは [Client Status (クライアントステータス)] ページを表示できます。
    トークン - 取り消しTaaSTanium Serverへのアクセスに使用するAPIトークンを作成したり、取り消したりできます。
    トークン - 使用TaaSTanium Serverに新しいAPIトークンのリクエストを送信できます。
    トークン - 表示[API Tokens (APIトークン)] ページを表示できます。
    ユーザ読み取りアクセス権限により、ユーザは [Users (ユーザ)] ページでユーザ設定を表示およびエクスポートできます。

    書き込みアクセス権限により、ユーザはユーザ構成を作成、編集、削除できます。書き込みアクセス権限は、暗黙でユーザの読み取りアクセス権限を伴います

    ロール、ユーザ グループ、ユーザのペルソナの割り当てを表示および編集するには、その他の権限も必要です。「ユーザを管理する」を参照してください。

    ユーザグループ読み取りアクセス権限により、ユーザは [User Groups (ユーザグループ)] ページでユーザグループ設定を表示およびエクスポートできます。

    書き込みアクセス権限により、ユーザはユーザグループ設定を作成、編集、削除できます。書き込みアクセス権限は、暗黙でユーザグループの読み取りアクセス権限を伴います

    ユーザグループのロール、ユーザ、ペルソナ割り当てを表示および編集するには、その他のアクセス権限も必要です。「ユーザグループを管理する」を参照してください。

    管理権利読み取りアクセス権限とコンピュータグループの読み取り権限が組み合わさると、ユーザはユーザ、ユーザグループ、ペルソナのコンピュータ管理グループ割り当てを表示できます。

    管理権利書き込みは、ユーザ、ユーザグループ、ペルソナのコンピュータ管理グループ割り当てを編集するために必要なアクセス権限の1つです。その他の必要な権限については、「コンピュータ管理グループを管理する」を参照してください。

    管理権利読み取り管理権利書き込みは、明示的なアクセス権限ではありません。アクセス権限管理者アクセス権限は、暗黙でそれらのアクセス権限を伴います

    コンテンツセット読み取りアクセス権限により、ユーザはコンテンツセット設定を表示できます。

    書き込みアクセス権限により、ユーザは以下を行うことができます。

    • コンテンツセットの作成、編集、および削除
    • コンテンツをコンテンツセット間で移動させる
    • CSV形式でのコンテンツセットのエクスポート。JSON形式でエクスポートするには、コンテンツのエクスポート管理アクセス権限が必要です。

    これらは明示的なアクセス権限ではありません。アクセス権限管理者アクセス権限は、暗黙でそれらのアクセス権限を伴います

    ロール読み取りアクセス権限により、ユーザはロール構成を表示したり、CSV形式でエクスポートしたりできます。JSON形式でエクスポートするには、コンテンツのエクスポートアクセス権限が必要です。

    書き込みアクセス権限により、ユーザはロール構成を作成、編集、削除できます。

    権限付与アクセス権限は、ユーザ、ユーザ グループ、ペルソナのロール割り当ての編集に必要な権限の1つです。

    これらは明示的なアクセス権限ではありません。アクセス権限管理者アクセス権限は、暗黙でそれらのアクセス権限を伴います

    ロール割り当てを管理するには、次のアクセス権限の組み合わせが必要です。

    • ユーザのロール割り当てを編集するには、アクセス権限管理者ユーザの書き込み権限が必要です。
    • ユーザグループのロール割り当てを編集するには、アクセス権限管理者ユーザグループの書き込みアクセス権限が必要です。
    • ペルソナのロール割り当てを編集するには、アクセス権限管理者ペルソナの書き込みアクセス権限が必要です。
  8. 割り当てるアクセス権限を持つ各モジュールについて、Open (有効期間内)<module name>セクションを展開し、アクセス権限を選択します。

    モジュール別ロールに必要なアクセス権限については、各モジュールのユーザガイドを参照してください。

  9. Open (有効期間内)[Platform Content Permissions (プラットフォームコンテンツのアクセス権限)] セクションを展開し、ロールに必要なアクセス権限をすべて選択します。
     表3:プラットフォームコンテンツのアクセス権限
    アクセス権限説明
    アクション 読み取りアクセス権限により、ユーザは [Administration (運用管理)] > [Actions (アクション)] のページを表示できます。個々のアクション(グリッドの行)の可視性は、コンテンツセットの基のパッケージに対するアクションの読み取りアクセス権限によって異なります。このアクセス権限によって、ユーザはパッケージファイルを再ダウンロードし、グリッドの行をクリップボードにコピーできます。

    書き込みアクセス権限により、ユーザは以下を行うことができます。

    • 自身が発行したスケジュール済みアクションの表示。
    • CSV形式でのスケジュール済みアクションのエクスポート。JSON形式でエクスポートするには、コンテンツのエクスポート管理アクセス権限が必要です。
    • [Question Results (Questionの結果)] グリッドの [Deploy Action (アクションを展開)] ボタンの利用。

    アクションの書き込みアクセス権限は、暗黙で自アクションの読み取りパッケージの読み取りプレビューの表示アクセス権限を伴います

    アクションを展開、編集、およびアクションのステータスを確認するには、予約済みコンテンツセットに対するRead Sensor (センサーの読み取り)アクセス権限とRead Saved Question (保存済みQuestionの読み取り)アクセス権限も必要です。予約済みコンテンツセットには、プレビューおよびポーリングQuestionの実行に使用するコンテンツが含まれます。

    保存済みQuestionのアクション書き込みアクセス権限により、ユーザは以下を行うことができます。
    • [スケジュール済みアクション] ページへのアクセスと、自身が展開したアクションの確認。
    • 関連アクションがある保存済みQuestionの [Question Results (Questionの結果)] グリッドでの [Deploy Action (アクションを展開)] ボタンの表示と利用使用。関連パッケージに対するパッケージの読み取りアクセス権限は必要ありません。 保存済みQuestionに関連アクションがない場合、[Deploy Action (アクションを展開)] ボタンは表示されません。

    書き込みアクセス権限は、暗黙でプレビューの表示アクセス権限を伴います

    ヒントアクションの書き込みアクセス権限はなく保存済みQuestionのアクションの書き込みアクセス権限を使用すると、Tanium製品を使用して他のユーザが作成した標準的な操作手順を実行するアクションユーザによる使用を制限することができます。

    アクションの承認他のユーザが作成したアクションを承認できます。このアクセス許可を保有するユーザは、自分のアクションを承認できません。

    [Actions I Can Approve (承認可能なアクション)] ページとAll Pending Approval (すべての承認待ち)] ページでアクションを表示するには、Read Package (パッケージの読み取り)アクセス権限とRead Own Action (自アクションの読み取り)アクセス権限も必要です。

    Bypass Action Approval (アクション承認のバイパス)アクセス権限により、ユーザは、アクション承認が設定されていても、承認なしでアクションを展開することができます。Administrator予約ロールを含めて、デフォルトでこのアクセス権限が含まれているロールはありません。これは、Adminstrator予約ロールを持つユーザに付与されたときに意味を持つ唯一のプラットフォームコンテンツアクセス権限です。

    Bypass Action Approval (アクションの承認をバイパス)このアクセス許可を持つユーザによって作成されたアクションは、承認要件を免除されます。

    Administrator予約ロールを含めて、デフォルトでこのアクセス権限が含まれているロールはありません。

    これは、Adminstratorロールを持つユーザに付与されたときに意味を持つ唯一の高度アクセス権限です。

    ダッシュボード読み取り権限により、ユーザはInteractのコンテンツページでダッシュボードを表示できます(ただし、Show Interact (Interactを表示)アクセス権限があることが前提)。ダッシュボードを使用するには、関連コンテンツに対する保存済みQuestionの読み取りアクセス権限とセンサーの読み取りアクセス権限も必要です。

    書き込みアクセス権限により、ユーザはダッシュボード構成を作成、編集、削除できます。書き込みアクセス権限は、暗黙でダッシュボードの読み取りアクセス権限を伴います

    ダッシュボードグループ読み取りアクセス権限により、ユーザはInteractの [Content (コンテンツ)] ページでカテゴリを表示できます(ただし、Show Interact (Interactを表示)アクセス権限があることが前提)。カテゴリを使用するには、関連コンテンツに対するダッシュボードの読み取り保存済みQuestionの読み取りセンサーの読み取りアクセス権限も必要です。

    書き込みアクセス権限により、ユーザはカテゴリ構成を作成、変更、削除できます。書き込みアクセス権限は、暗黙でカテゴリの読み取りアクセス権限を伴います

    フィルタグループ読み取りアクセス権限により、ユーザは以下を行うことができます。
    • [Filter Groups (フィルタグループ)] ページの表示
    • Tanium Consoleでフィルタグループを利用することによるQuestion、Questionの結果、各種リストのフィルタリング
    • CSV形式でのフィルタグループのエクスポート。JSON形式でエクスポートするには、コンテンツのエクスポート管理アクセス権限が必要です。

    書き込みアクセス権限により、ユーザはフィルタグループ設定を作成、編集、削除できます。書き込みアクセス権限は、暗黙でRead Filter Group (フィルタグループの読み取り)アクセス権限を伴います

    自アクション読み取りアクセス権限により、サインインしたユーザは [All Pending Approval (すべての承認待ち)] グリッドで自身のアクションを表示できます。
    パッケージ読み取りアクセス権限により、ユーザは以下を行うことができます。
    • [Action Deployment (アクションの展開)] ページの [Deployment Package (展開パッケージ)] リストでのパッケージの表示。
    • [Packages (パッケージ)] ページでのパッケージの表示。
    • CSV形式でのパッケージのエクスポート。JSON形式でエクスポートするには、コンテンツのエクスポート管理アクセス権限が必要です。

    書き込みアクセス権限により、ユーザはパッケージ設定を作成、編集、削除できます。書き込みアクセス権限には、暗黙でパッケージの読み取りアクセス権限とプレビューの表示アクセス権限を伴います

    Associated Packages (関連するパッケージ)Read Associated Packages (関連パッケージの読み取り)は明示的なアクセス権限ではありません。Write Action for Saved Question (保存済みQuestionの書き込みアクション)アクセス権限は、暗黙でRead Associated Packages (関連パッケージの読み取り)アクセス権限を伴います。
    Plugin (プラグイン)将来の使用のために予約されています。
    Saved Question (保存済みQuestion)読み取りアクセス権限により、ユーザは以下を行うことができます。
    • [Question Results (Questionの結果)] グリッドのドリルダウンおよび同様のユーザインターフェイスでの保存済みQuestionの表示。
    • Interactの [Overview (概要)] ページでの保存済みQuestionの表示(ただし、Show Interact (Interactの表示)アクセス権限もあることが前提)。
    • 保存済みQuestionの発行。Questionにセンサーを含むコンテンツセットに対するセンサーの読み取りアクセス権限もあることが前提)。
    • [Saved Questions (保存済みQuestion)] ページの表示。
    • CSV形式での保存済みQuestionのエクスポート。JSON形式でエクスポートするには、コンテンツのエクスポート管理アクセス権限が必要です。

    書き込みアクセス権限により、ユーザは保存済みQuestion構成を作成、編集、削除できます。書き込みアクセス権限は暗黙で保存済みQuestionの読み取りアクセス権限があることを意味しますが、暗黙のダイナミックQuestionの実行アクセス権限はありません。

    センサー読み取りアクセス権限により、ユーザは以下を行うことができます。
    • Tanium Console全体における Question Builder (Questionビルダ)および同様のユーザインターフェイスでのセンサーの表示。
    • Questionでのセンサーの利用(Questionの実行権限もあることが前提)。

    書き込みアクセス権限により、ユーザはセンサー設定を作成、編集、削除できます。書き込みアクセス権限には、暗黙でセンサーの読み取りアクセス権限とプレビューの表示アクセス権限を伴います

    プレビュープレビューの表示は明示的なアクセス権限ではありません。アクションの書き込み保存済みQuestionのアクションの書き込みセンサーの書き込みパッケージの書き込みアクセス権限は、暗黙でプレビューの表示アクセス権限があることを意味します。 Show Preview (プレビューの表示)により、ユーザは、新規および変更されたアクション、センサー、パッケージ設定の影響のプレビューに必要なQuestionを実行することができます。プレビューQuestionを実行するには、プレビューQuestionに使用するコンテンツを含む予約済みコンテンツセットに対するセンサー読み取りアクセス権も必要です。
  10. (任意) 選択したすべてのアクセス権限を確認します。

    ページの右上にある[Preview (プレビュー)] をクリックして、選択したアクセス権限のみを表示します。確認したら、[Edit Mode (編集モード)] をクリックしてロールの設定を続行します。

  11. 選択した関連モジュールのコンテンツアクセス権限とプラットフォームコンテンツアクセス権限コンテンツセットを割り当てます。
    • 既存および以降のすべてのコンテンツセットを、選択したすべての関連するコンテンツ権限に割り当てるには、[Add all Content Sets that exist or will exist to the permissions selected above (選択したアクセス権限に既存または以降のすべてのコンテンツセットを追加)] を選択します。このオプションは、ユーザが必ずセンサーを読み取れるようにするか、あるいはその逆に、アクションを一切書き込めないようにする場合などに便利です。
    • 選択したすべての関連するコンテンツ権限に特定のコンテンツセットを割り当てるには、[Add Content Sets (コンテンツセットの追加)] をクリックし、コンテンツセットを選択して、[Select (選択)] をクリックします。
    • 特定のコンテンツセットを特定のアクセス権限に割り当てるには、以下の手順に従います。
      1. [Permissions (アクセス権限)] セクションまでスクロールして、次のようなアクセス権限アイコンの横にある数字をクリックします。

        コンテンツセット割り当て

      2. コンテンツセットを選択し、[Select (選択)] をクリックします。

    特定のアクセス権限のコンテンツセット割り当てを確認するには、展開[Permissions (アクセス権限)] セクションでそのアクセス権限を展開します。次のアイコンは、コンテンツセットアクセス権限の由来を示します。

    明示的アクセス権限アクセス権限に明示的に割り当てられるコンテンツセット。
    超明示的アクセス権限別のアクセス権限で暗示または自動で割り当てられるコンテンツセット。

    すべてのアクセス権限に対するコンテンツセット割り当てを確認するには、[Content Sets (コンテンツセット)] グリッドを表示します。次のグリッドアイコンは、コンテンツセットアクセス権限の由来を示します。

    明示的アクセス権限明示的に割り当てられたコンテンツセット。
    超明示的アクセス権限明示的に割り当てる必要があり、かつ、依存関係のために追加のアクセス権限を自動または暗黙で提供するアクセス権限に関連付けられているコンテンツセット。
    暗黙のアクセス権限別のアクセス権限を持つ依存関係があるため自動的に割り当てられるコンテンツセット。

    ロール構成ページから離れることなくカスタムコンテンツセットを作成するには、[New Content Set (新規コンテンツセット)] をクリックし、コンテンツセットを識別する名前を入力して、[Save (保存)] をクリックします。

  12. [Save (保存)] をクリックします。

高度なロールを作成する

高度なロールは、センサー、パッケージ、保存保存済みQuestionおよびその他のコンテンツへのアクセスを制御するコンテンツセットのアクセス権限を付与または拒否します。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. [New Role (新規ロール)] > [Grant Advanced Role (高度なロールの付与)] または [New Role (新規ロール)] > [Deny Advanced Role (高度なロールの拒否)] を選択します。
  3. ロールを識別する名前を指定します。
  4. (任意)[All Content Sets Option (すべてのコンテンツセットオプション)]セクションにおいて[Add all Content Sets that exist or will exist to the permissions selected below (以降のすべてのコンテンツセットをアクセス権限に追加)]を選択し、すべての既存および今後のコンテンツセット全体においてアクセス権限を付与するかアクセス権限を拒否します。このオプションは、ユーザが必ずセンサーを読み取れるようにするか、あるいはその逆に、アクションを一切書き込めないようにする場合などに便利です。
  5. [Ask Dynamic Question (ダイナミックQuestionの実行)] セクションで [Add (追加)]追加 をクリックし、このロールを持つユーザがダイナミック(アドホック)Questionを実行することを許可します。

    [Ask Dynamic Question (Questionの実行)]はグローバルなアクセス権限です。ユーザに割り当てられているロールでこのアクセス権限が有効になっている場合、ユーザは読み取りアクセス権限を持つセンサーを使用してQuestionを作成するアクセス権限を得ます。

  6. [Advanced Permissions (高度なアクセス権限)] セクションで、ロールに付与または拒否させる権限ごとに [Add (追加)]追加 をクリックします。表4は各種アクセス権限の説明です。
  7. 各アクセス権限にコンテンツセットを追加します。[Add all Content Sets that exist or will exist to the permissions selected below (以降のすべてのコンテンツセットをアクセス権限に追加)]を選択した場合、この手順は省略します。

    ロール構成ページから離れることなくカスタムコンテンツセットを作成するには、[Apply New Content Set (新規コンテンツセットの適用)] をクリックして、[New Content Set (新規コンテンツセット)] をクリックし、名前説明(任意)を入力して、[Save (保存)] をクリックします。

    • すべてのアクセス権限に同じコンテンツセットを追加する。 [Apply New Content Set (新規コンテンツセットの適用)] をクリックし、コンテンツセットを選択して、[Save (保存)] をクリックします。
    • 特定のアクセス権限にコンテンツセットを追加する。アクセス権限タイルで [Add (追加)] をクリックし、コンテンツセットを選択して、[Save (保存)] をクリックします。
  8. [Save (保存)] をクリックして、ロール構成を保存します。
 表4:コンテンツセットのアクセス権限
アクセス権限 説明
Bypass Action Approval (アクションの承認をバイパス) このアクセス許可を持つユーザによって作成されたアクションは、承認要件を免除されます。

Administrator予約ロールを含めて、デフォルトでこのアクセス権限が含まれているロールはありません。

これは、Adminstratorロールを持つユーザに付与されたときに意味を持つ唯一の高度アクセス権限です。

Read Sensor (センサーの読み取り) コンソール全体における [Sensors (センサー)] ページとQuestionビルダ、同様のユーザインターフェイスでセンサーを表示できます。ユーザがQuestionを実行する権限も保有している場合は、Questionでセンサーを使用できます。
Write Sensor (センサーの書き込み) センサー構成を作成、変更、削除できます。暗黙でセンサーの読み取りアクセス権限とプレビューの表示アクセス権限があることを意味します。
Read Action (アクションの読み取り) [Administration (運用管理)] > [Actions (アクション)] のページを表示できます。グリッド内の行の可視性は、コンテンツセットの基のパッケージに対するアクションの読み取りアクセス権限に依存します。このアクセス権限によって、ユーザはパッケージファイルを再ダウンロードし、グリッドの行をクリップボードにコピーできます。

暗黙で自アクションの読み取りアクセス権限があることを意味します。

Read Own Action (自身のアクションの読み取り) サインインしたユーザのアクションを [All Pending Approval (すべての承認待ち)] グリッドに表示するかどうかを指定します。
Write Action (アクションの書き込み) [Scheduled Actions (スケジュール済みアクション)] ページを表示できます。ユーザは、自身が発行したアクションの行を閲覧できます。コンテンツセットの基のパッケージに対するアクションの読み取りアクセス権限を持つユーザは、他のユーザが発行したアクションの行を見ることができます。

動的なQuestionと保存されたQuestionの[Question Results (Questionの結果)]グリッドに[Deploy Action (アクションのデプロイ)]ボタンを表示して使用できます。

これは、自アクション読み取りパッケージ読み取りプレビュー表示アクセス権限のことです。

アクションの展開、アクションの編集、またはアクションステータスの確認を行うには、予約済みコンテンツセットに対するセンサーの読み取り権限と保存済みQuestionの読み取り権限も必要です。予約コンテンツセットには、プレビューおよびポーリングに関するQuestionに使用されるコンテンツが含まれています。

Write Action for Saved Question (保存されたQuestionへのアクションの書き込み) [Scheduled Actions (スケジュール済みアクション)] ページを表示できますが、表示されるのはそのユーザが展開したアクションの行のみです。

[Question Results (Questionの結果)]グリッドに[Deploy Action (アクションのデプロイ)]ボタンを表示して使用できますが、使用できるのは、関連アクションがある保存されたQuestionに対するボタンのみです。関連アクション対してパッケージの読み取りアクセス権限は必要ありません。保存されたQuestionに関連アクションがない場合、[Deploy Action (アクションのデプロイ)]ボタンは表示されません。

ヒントアクションの書き込みアクセス権限ではなく保存済みQuestionのアクションの書き込みアクセス権限を使用すると、Tanium製品を使用して他のユーザが作成した標準的な操作手順を実行するアクションユーザによる使用を制限することができます。

[Read Filter Group (フィルタグループの読み取り)] [Filter Groups (フィルタグループ)] ページの表示、およびフィルタグループを利用することによるQuestion、Questionの結果およびTanium Consoleのさまざまなリストのフィルタリングを行うことができます。
[Write Filter Group (フィルタグループの書き込み)] フィルタグループ設定を作成、変更、削除します。暗黙でRead Filter Group (フィルタグループの読み取り)アクセス権限を伴います。
アクションの承認 別のユーザが作成したアクションを承認できます。このアクセス許可を保有するユーザは、自分のアクションを承認できません。

[Actions I Can Approve (承認可能なアクション)] と [All Pending Approval (すべての承認待ち)] ページのアクションを表示するには、Read Package (パッケージの読み取り)アクセス権限とRead Own Action (自アクションの読み取り)アクセス権限も必要です。

Read Plugin (プラグインの読み取り) 将来の使用のために予約されています。
Execute Plugin (プラグインの実行) 将来の使用のために予約されています。
Read Package (パッケージの読み取り) [Deploy Action (アクションの展開)]ワークフローページから開く[Browse Packages (パッケージの参照)]ダイアログでパッケージを表示できます。パッケージ書き込みアクセス権限がない場合、[Packages (パッケージ)] ページを表示することはできません。
Write Package (パッケージの書き込み) [Packages (パッケージ)] ページを表示できます。パッケージ構成を作成、変更、削除できます。暗黙でパッケージ読み取りアクセス権限とプレビューの表示アクセス権限を伴います。
Read Saved Question (保存されたQuestionの読み取り) [Question Results (Questionの結果)]グリッドのドリルダウンおよび同様のユーザインターフェイスで保存されたQuestionを表示できます。Interactのワークベンチに対するアクセス権も持っている場合は、Interactの [Saved Questions (保存済みQuestion)] ページを表示できます。保存済みQuestionの書き込みアクセス権限がない場合、[Saved Questions (保存済みQuestion)] ページを表示することはできません。

保存済みQuestionを正しく発行するには、関係するセンサーに対するセンサー読み取りアクセス権限も必要です。

Write Saved Question (保存されたQuestionの書き込み) [Saved Questions (保存済みQuestion)] ページを表示できます。保存されたQuestionを作成、変更、削除できます。暗黙で保存済みQuestionの読み取りアクセス権限を伴います。

: ダイナミックQuestionの実行アクセス権限は暗黙では付与されません。

Read Associated Packages (関連するパッケージの読み取り) 明示的なアクセス許可ではありません。保存済みQuestionのアクションの書き込みアクセス権限で暗黙で付与されます。
Read Dashboard (ダッシュボードの読み取り) ユーザがInteractワークベンチへのアクセス権限を持っている場合は、Interactの [Content (コンテンツ)] ページのダッシュボードを表示できます。

ダッシュボードを使用するには、関連するコンテンツに対する保存済みQuestionの読み取りアクセス権限とセンサー読み取りアクセス権限も必要です。

Write Dashboard (ダッシュボードの書き込み) ダッシュボード構成を作成、変更、削除できます。暗黙でダッシュボードの読み取りアクセス権限を伴います。
Read Dashboard Group (ダッシュボードグループの読み取り) Interactのワークベンチへのアクセス権限を持っている場合は、Interactの [Content (コンテンツ)] ページのカテゴリを表示できます。

カテゴリを使用するには、関連コンテンツに対するダッシュボードの読み取り保存済みQuestionの読み取りセンサーの読み取りアクセス権限も必要です。

Write Dashboard Group (ダッシュボードグループの書き込み) カテゴリ構成を作成、変更、削除できます。暗黙でカテゴリの読み取りアクセス権限を伴います。
Show Preview (プレビューの表示) 明示的なアクセス許可ではありません。アクションの書き込み保存済みQuestionのアクションの書き込みセンサーの書き込みパッケージの書き込みアクセス権限で暗黙で付与されます。 これにより作成者は、新規または変更された構成の影響をプレビューするために必要なQuestionを実行することができます。 プレビューQuestionを実行するには、予約済みコンテンツセットに対するセンサーの読み取りも必要です。予約コンテンツセットには、プレビューQuestionを実行するために使用されるコンテンツが含まれます。

マイクロ管理者のロールを作成する

マイクロ管理者ロールは、システム管理者のアクセス権限を割り当てます。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. [New Role (新規ロール)] > [Grant Micro Admin Role (micro adminロールの付与)] または [New Role (新規ロール)] > [Deny Micro Admin Role (micro adminロールの拒否)] を選択してロール構成ページを表示します。
  3. ロールを識別する名前を入力します。
  4. ロールで付与または拒否する権限ごとに [Add (追加)]追加 をクリックし(次の表を参照)、[Save (保存)]をクリックします。

    Tanium Consoleの一部の管理タスクは、マイクロ管理者アクセス権限に関連付けられていません。予約済みロールを持つユーザのみがこれらのタスクを実行できます。詳しくは予約済みのロールを要求するタスクを参照してください。

 表5:マイクロ管理者アクセス権限
アクセス権限 説明
Read System Status (システムステータスの読み取り) [Client Status (クライアントステータス)] ページを表示できます。
Read Question History (Question履歴の読み取り) [Question History (Question履歴)] ページを表示できます。[Question History (Question履歴)] ページからQuestionを発行するには、対応するコンテンツセットに対する高度なロールのアクセス権限も必要です。
Read User (読み取りユーザ) ユーザ設定を表示およびエクスポートできます。

ユーザのロール、ユーザグループ、ペルソナ割り当てを表示および編集するには、その他の権限も必要です。「ユーザを管理する」を参照してください。

Write User (書き込みユーザ) ユーザを作成、変更、削除できます。暗黙でユーザの読み取りアクセス権限を伴います。

ユーザのロール、ユーザグループ、ペルソナ割り当てを編集するには、その他の権限も必要です。「ユーザを管理する」を参照してください。

Read User Group (ユーザグループの読み取り) ユーザグループ設定を表示およびエクスポートできます。

ユーザグループのロール、ユーザ、ペルソナ割り当てを表示するには、その他の権限も必要です。「ユーザグループを管理する」を参照してください。

Write User Group (書き込みユーザグループ) ユーザグループを作成、変更、削除できます。暗黙でユーザグループの読み取りアクセス権限を伴います。

ユーザグループのロール、ユーザ、ペルソナ割り当てを編集するには、その他の権限も必要です。「ユーザグループを管理する」を参照してください。

Read Computer Group (コンピュータグループの読み取り) コンピュータ管理グループとフィルタグループを表示およびエクスポートできます。暗黙でRead Filter Group (フィルタグループの読み取り)アクセス権限を伴います。

コンピュータ管理グループのユーザ グループ、ユーザ、ペルソナの割り当てを表示するには、その他のアクセス権限も必要です。「コンピュータ管理グループを管理する」を参照してください。

Write Computer Group (書き込みコンピュータグループ) コンピュータ管理グループとフィルタグループを作成、変更、削除できます。暗黙でコンピュータグループの読み取りアクセス権限とフィルタグループの書き込みアクセス権限を伴います。

メンバーシップがセンサーフィルタに基づくコンピュータ管理グループまたはフィルタグループを作成するには、コンピュータグループの書き込みに加えて次のアクセス権限が必要です。

  • プレビューQuestionの実行に使用されるコンテンツを含む予約済みコンテンツセットに対するセンサーの読み取り(高度)アクセス権限。
  • Interact Module Write (Interactモジュールの書き込み)(モジュール)アクセス権限。

メンバーシップが手動で定義されたコンピュータグループには、センサーの読み取りおよびInteractモジュールの書き込みアクセス権限は必要ありません。

Read Persona (ペルソナの読み取り) ペルソナの構成と割り当てを表示およびエクスポートできます。アクセス権限管理者アクセス権限には、暗黙でペルソナの読み取りアクセス権限を伴います。
Write Persona (ペルソナの書き込み) ペルソナを作成、編集、削除できます。暗黙でペルソナの読み取りアクセス権限を伴います。

ペルソナのユーザ、ユーザ グループ、ロール割り当てを編集するには、その他のアクセス権限も必要です(「ペルソナを管理する」を参照)。

Read Global Settings (グローバル設定の読み取り) [Global Settings (グローバル設定)] ページを表示できます。
Write Global Settings (グローバル設定の書き込み) グローバル設定を作成、変更、削除できます。暗黙でグローバル設定の読み取りアクセス権限を伴います。
Read Allowed Urls (許可URLの読み取り) [Allowed URLs (許可URL)] ページを表示できます。
Write Allowed Urls (許可URLの書き込み) 許可URL構成を作成、変更、削除できます。暗黙でRead Allowed Urls (許可URLの読み取り)アクセス権限を伴います。
Read Audit (監査の読み取り) 以下を表示できます。
  • [Users (ユーザ)] ページの最終サインイン情報
  • ユーザ設定ページの最終変更日情報
  • [Global Settings (グローバル設定)] ページの最終変更情報
Read Server Status (サーバステータスの読み取り) https://<Tanium_Server>/infoページを表示できます。詳細については、情報ページを表示するを参照してください。
[View Token (トークンの表示)] [API Tokens (APIトークン)] ページを表示できます。
[Use Token (トークンの使用)] TaaS Tanium Serverに新しいAPIトークンのリクエストを送信できます。
[Revoke Token (トークンの取り消し)] TaaS Tanium Serverへのアクセスに使用されるAPIトークンを取り消すことができます。
Export Content (コンテンツのエクスポート) 次の種類のコンテンツをエクスポートできます。
  • 許可URL
  • コンピューターグループ
  • コンテンツセット
  • フィルタグループ
  • パッケージ
  • ロール
  • 保存済みQuestion
  • Scheduled actions (予定済みアクション)
  • センサ

カテゴリとダッシュボードをエクスポートできるのは、Administrator予約ロールだけです。

[Import Signed Content (署名済みコンテンツのインポート)] デジタル署名済みコンテンツファイルをインポートできます。
[Read Action Group (アクショングループの読み取り)] [Scheduled Actions (スケジュール済みアクション)] ページで特定のアクショングループを表示できます。
[Write Action Group (アクショングループの書き込み)] アクショングループを作成、変更、削除できます。暗黙でアクショングループの読み取りアクセス権限を伴います。

モジュールのロールを作成する

モジュールロールは、モジュールのワークベンチと機能へのアクセスを制御するTaniumソリューションモジュールのアクセス権限を付与します。モジュールロールは、モジュール固有のコンテンツセットのアクセス権限も付与します。モジュールロールには、権限拒否ロールはありません。モジュールアクセス権を付与するロールを持たないユーザが、モジュールのワークベンチや機能にアクセスすることはできません。一部のモジュールアクセス権限によって、モジュールアクセス権限の選択時にロール構成に自動的に含まれる提供済みアクセス権限が有効化されます。たとえば、Patch Module Write (Patchモジュールの書き込み)アクセス権限を選択すると、ロールには自動的にAsk Dynamic Question (ダイナミックQuestionの実行)アクセス権限を伴います。

モジュール別ロールの要件

モジュール別ロールに必要なアクセス権限については、各モジュールのユーザガイドを参照してください。

モジュールロールを追加する

モジュールロールを追加するには以下の手順を実行します。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. [New Role (新規ロール)] > [Grant Module Role (モジュールロールの付与)] を選択してロール構成ページを表示します。
  3. ロールを識別する名前を入力します。
  4. (任意) [All Content Sets Option (すべてのコンテンツセットオプション)]セクションにおいて[Add all Content Sets that exist or will exist to the permissions selected below (以降のすべてのコンテンツセットをアクセス権限に追加)]を選択し、そのモジュールに関連付けられたすべての既存および今後のコンテンツセット全体においてアクセス権限を付与します。このオプションは、モジュール別コンテンツを持つ、Trendsなどのモジュールにのみ適用されます。
  5. [Module Permissions (モジュールアクセス権限)] セクションで、ロールでアクセス権限をする各モジュール横の [Add (追加)]追加 をクリックします。
  6. 各モジュールで [Edit (編集)] をクリックし、アクセス権限を選択して、[Save (保存)] をクリックします。
  7. モジュール別コンテンツを持つ各モジュールについて、各アクセス権限のタイルの [Add (追加)] をクリックし、コンテンツセットを選択して、[Save (保存)] をクリックします。[Add all Content Sets that exist or will exist to the permissions selected below (以降のすべてのコンテンツセットをアクセス権限に追加)]を選択した場合、この手順は省略します。

    ロール構成ページから離れることなくカスタムコンテンツセットを作成するには、[Module Permissions (モジュールのアクセス権限)] セクションの右上にある [Apply New Content Set (新規コンテンツセットの適用)] をクリックして、[新規コンテンツセット] をクリックし、名前説明(任意)を入力して、[Save (保存)] をクリックします。

    • すべてのアクセス権限に同じコンテンツセットを追加する。 [Apply New Content Set (新規コンテンツセットの適用)] をクリックし、コンテンツセットを選択して、[Save (保存)] をクリックします。
    • 特定のアクセス権限にコンテンツセットを追加する。アクセス権限タイルで [Add (追加)] をクリックし、コンテンツセットを選択して、[Save (保存)] をクリックします。
  8. [Save (保存)] をクリックして、ロール構成を保存します。

ロールに対するユーザおよびユーザグループ割り当てを管理する

ロールをペルソナに割り当てる方法については、「ペルソナに対するロール割り当てを管理する」を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動し、ロールの名前をクリックします。
  2. 展開[Users (ユーザ)] セクションを展開して、[Manage Users (ユーザの管理)] をクリックし、ユーザを選択または選択解除して、[Select (選択)] をクリックします。
    すでにユーザに割り当てられているロールを編集する場合は、[Role Details (ロールの詳細)] セクションの [Users (ユーザ)] フィールドの上の番号をクリックし、[Users (ユーザ)] セクションまでスクロールして展開します。

    特定のユーザの構成を表示または編集するには、[Users (ユーザ)] セクションでそのユーザの名前をクリックします。新しいタブで [Edit User (ユーザの編集)] ページが表示されます。

  3. 展開[User Groups (ユーザグループ)] セクションを展開して、[Manage User Groups (ユーザグループの管理)] をクリックし、グループを選択または選択解除して、[Select (選択)] をクリックします。
    すでにユーザに割り当てられているロールを編集する場合は、[Role Details (ロールの詳細)] セクションの [User Groups (ユーザグループ)] フィールドの上の番号をクリックし、[User Groups (ユーザグループ)] セクションまでスクロールして展開します。

    特定のユーザグループの構成を表示または編集するには、[User Groups (ユーザグループ)] セクションでグループの名前をクリックします。新しいタブで [Edit User Group (ユーザグループの編集)] ページが開きます。

  4. ユーザおよびユーザグループ割り当てを確認して、[Save (保存)] をクリックします。
  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. ロールを選択し、[Edit (編集)] をクリックします。
  3. [Edit User Assignment (ユーザ割り当てを編集)]をクリックして、[Assign Users and User Groups (ユーザおよびユーザグループの割り当て)]ページを表示します。
  4. [User Groups (ユーザグループ)]の横の[Edit (編集)]をクリックします。グループを選択し、[Save (保存)] をクリックします。
  5. [User (ユーザ)]の横の[Edit (編集)]をクリックします。ユーザを選択し、[Save (保存)]をクリックします。
  6. [Show Preview to Continue (プレビューを表示して続行)] をクリックし、実効アクセス権限を確認して、[Save (保存)] をクリックします。

ロールのクローンを作成する

多くの設定が既存のロールと共通するロールを追加するには、多くの場合、既存のロールのクローンを作成してからクローンを変更する方が、新しいロールを構成する簡単です。ただし、その場合でも、ユーザとユーザグループをクローンに割り当てて、必要に応じて説明を入力する必要があることに注意してください。クローンは、元のロールのこれらの設定を継承しません。クローンは、予約されたロールを除くすべてのロールに対して作成できます。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. ロールを選択して、[Clone (クローンの作成)] をクリックします。
  3. ロールを識別するロール名を入力し、必要に応じてアクセス権限を更新して、[Save (保存)] をクリックします。
  4. ロールにユーザとユーザグループを割り当てます(「ロールに対するユーザおよびユーザグループ割り当てを管理する」を参照)。

ロールをエクスポート/インポートする

以降の手順では、特定のロールまたはすべてのロールの構成をエクスポートおよびインポートする方法を説明しています。

本番環境にコンテンツをインポートする前に、ラボ環境でコンテンツの開発とテストを行ってください。

ロールをエクスポートする

CSVファイルの形式でロールをエクスポートすることで、その形式をサポートするアプリケーションで設定を表示することができます。ユーザアカウントにExport Content (コンテンツエクスポート)アクセス権限を持つロールがある場合は、JSONファイルの形式でロールをエクスポートすることで別のTanium Serverにインポートすることもできます。Administrator予約ロールにはそのアクセス権限があります。

ロールに加えてその他の種類のコンテンツをエクスポートまたはインポートする場合は、「共有サービスとコンテンツを管理する」を参照してください。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. 特定のロールのみをエクスポートするには、グリッドで行を選択します。すべてのロールをエクスポートする場合、この手順は省略できます。
  3. エクスポート エクスポートエクスポート をクリックします。
  4. (任意) デフォルトのエクスポートファイル名を編集します。

    ファイルのサフィックス(.csv または .json)は、選択された [形式] に基づいて自動的に変更されます。

  5. [データのエクスポート] オプションを選択します。グリッドのすべてのロール、または選択したロールのみ。
  6. ファイルの形式を選択します。JSONまたはCSV
  7. [Export (エクスポート)]をクリックします。

    TaaSTanium Serverは、Tanium Consoleへのアクセスに使用されたシステムのDownloadsフォルダにファイルをエクスポートします。

ロールをインポートする

JSONまたはXML形式のファイルをインポートすることができます。

  1. コンテンツファイルにデジタル署名して、署名を検証するための公開鍵があることを確認します。コンテンツファイルの認証を参照してください。
  2. メインメニューから [Administration (運用管理)] > [Configuration (構成)] > [Solutions (ソリューション)] に移動します。
  3. [Content (コンテンツ)] セクションまでスクロールし、インポート [Import Content (コンテンツのインポート)] をクリックします。
  4. [Choose File (ファイルを選択)] をクリックして、コンテンツファイルを選択し、[Open (開く)]をクリックします。
  5. [Import (インポート)]をクリックします。

    ファイル内のオブジェクト名が既存のオブジェクトと同じである場合、Tanium Consoleは競合項目を箇条書きして、各項目の解決オプションを提供します。

  6. 競合項目の解決策を選択する 競合およびベストプラクティスのガイダンスを参照してください。
  7. もう一度[Import (インポート)]をクリックして、インポートが終了したら[Close (閉じる)]をクリックします。

ロールの構成詳細をコピーする

[Roles (ロール)] ページの情報をクリップボードにコピーすることで、その情報をメッセージやテキストファイル、スプレッドシートに貼り付けることができます。グリッドの各行は、コンマで区切られた値の文字列です。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. 次のいずれかの手順を実行します。
    • 行情報をコピー: 行を選択して [Copy (コピー)] コピーをクリックします。
    • セル情報をコピー: セルの上にカーソルを重ねて、[Options (オプション)] オプション をクリックし、[Copy (コピー)] コピー をクリックします。

ロールを削除する

ロールを削除すると、そのロールが割り当てられているユーザ、ユーザグループ、ペルソナからそのロールが削除されます。

ロールを削除する前に次のタスクを実行します。
  1. ロール構成から、ユーザおよびユーザグループ割り当てのすべてを削除します。ロールに対するユーザおよびユーザグループ割り当てを管理する
  2. 担当するユーザの実効アクセス権限ページに移動して、実効アクセス権限に対する削除の影響を確認します。ユーザに対する実行アクセス権限を表示するを参照してください。

ロールを削除するには、以下の手順に従います。

  1. メインメニューから [Administration (運用管理)] > [Permissions (アクセス権限)] > [Roles (ロール)] に移動します。
  2. ロールを選択して、[Delete (削除)]削除 をクリックします。