Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
このページの目次
 

ユーザー/ロール管理の概要

概要

Apstra GUI環境で作業するには、ユーザープロファイルが必要です。Apstraには、 管理者用の事前定義されたプロファイルが1つ付属しています。管理者は、ユーザーを作成し、1 つ以上のロールを割り当てることができます。ロールは、さまざまなアクセス許可と変更アクセス許可を提供します。それらは、ブループリント固有のものでも、より一般的なものでもかまいません。作成したカスタムロールを割り当てることも、以下で説明するようにApstraに同梱されている4つの定義済みロールのいずれかから始めることもできます。

  • 管理者 ロール - すべてのアクセス許可が含まれます。 管理者 ロールを持つユーザーは、ユーザーロールを作成、複製、編集、削除できます。 管理者 ユーザーには、管理者ロールが割り当てられます。

  • device_ztp ロール - ZTPを編集するための1つの権限が含まれます。Apstra ZTPサーバーをセットアップする場合、専用ユーザーを作成し、このロールのみを割り当てることをお勧めします。

  • ユーザー ロール - さまざまな要素を表示および編集するための権限が含まれます。
  • 閲覧者 ロール - さまざまな要素のみを表示する権限が含まれます。

事前定義されたロールの権限を変更することはできません。別のアクセス許可が必要な場合は、次のセクションに示すように、ロールを作成し、アクセス許可の一覧からアクセス許可を選択できます。

グローバル アクセス権

青写真

次のアクセス許可が含まれます。

  • 他のユーザーがステージングした変更の上書きを許可する (書き込みのみ)

  • ブループリント(読み取り、書き込み、コミット、削除)

  • 接続テンプレート (読み取り専用)

  • ブループリントをロックしたユーザーに関する情報を表示する (読み取り専用)

デバイス

次のアクセス許可が含まれます。

  • エージェント (読み取り、書き込み)

  • シャーシプロファイル(読み取り、書き込み)

  • デバイスプロファイル(読み取り、書き込み)

  • デバイス(読み取り、書き込み)

  • ラインカード プロファイル(読み取り、書き込み)

  • テレメトリ サービス レジストリ (読み取り、書き込み)

  • ZTP(読み取り、書き込み)

デザイン

次のアクセス許可が含まれます。

  • 構成テンプレート (読み取り、書き込み)

  • コンフィグレット(読み取り、書き込み)

  • インターフェイス マップ(読み取り、書き込み)

  • 論理デバイス(読み取り、書き込み)

  • ポートエイリアス(読み取り、書き込み)

  • プロパティ セット (読み取り、書き込み)

  • ラックタイプ(読み取り、書き込み)

  • タグ (読み取り、書き込み)

  • テンプレート (読み取り、書き込み)

リソース

次のアクセス許可が含まれます。

  • ASNプール(読み取り、書き込み)

  • 整数プール(読み取り、書き込み)

  • IP プール(読み取り、書き込み)

  • IPv6 プール (読み取り、書き込み)

  • VNI プール (読み取り、書き込み)

Aaa

次のアクセス許可が含まれます。

  • 監査構成 (読み取り、書き込み)

  • 監査イベント (読み取り専用)

  • ロール (読み取り、書き込み)

  • セキュリティ設定(読み取り、書き込み)

  • ユーザー (読み取り、書き込み)

外部システム

次のアクセス許可が含まれます。

  • AAA プロバイダ(読み取り、書き込み)

  • 仮想インフラマネージャー(読み取り、書き込み)

プラットフォーム

次のアクセス許可が含まれます。

  • 免除Junper Apstraクラスタ管理読み取り専用モード(書き込みのみ)

  • Juniper Apstraクラスター管理(読み取り、書き込み)

  • Juniper Apstraメトリックログ(読み取り専用)

  • ストリーミング (読み取り、書き込み)

  • Sysdb データ (読み取り、書き込み)

次のアクセス許可が含まれます。

  • Apstra Central デバイス(読み取り、書き込み)

  • コネクタ タイプ (読み取り専用)

  • グラフクエリ(読み取り、書き込み)

  • Juniper Apstra クエリベース分析(読み取り専用)

  • ポート設定スキーマ (読み取り専用)

  • テレメトリ RPC スキーマ レジストリ (読み取り専用)

ブループリントごとのパーミッション

すべてのブループリントまたは選択したブループリントにブループリントごとのパーミッションを適用できます。

一般的なアクセス許可

次のアクセス許可が含まれます。

  • 設計図を読む

  • ステージング ブループリントに変更を加える

  • 他のユーザーがステージングした変更の上書きを許可する

  • 変更のコミット

  • ブループリントをロックしたユーザーに関する情報を表示する

データセンター固有のアクセス許可

次のアクセス許可が含まれます。

  • ラックとリンクの管理

  • 汎用システムの管理

  • 仮想ネットワークの管理 (VN エンドポイントの管理を含む)

  • 仮想ネットワーク エンドポイントを管理する

フリーフォーム固有の権限

次のアクセス許可が含まれます。

  • プロパティ セットの管理

  • リソースの管理

ブループリントのロック機能

ブループリントのロック機能により、(ロールに基づいて)制限されたユーザーが事実上許可されていない変更を行うことを防ぎます。特に、制限されたユーザーは、他のユーザーが行った変更をコミットできないようにする必要があります。

ブループリントにコミットする変更がない場合、そのブループリントはロック解除されます。

たとえば、仮想ネットワークを作成/更新/削除するアクセス許可を (割り当てられたロールに基づいて) 持っていて、別のユーザーがブループリントにコミットされていない変更を加えた場合、ブループリントはロックされます。コミットされていない変更を行ったロック ユーザーによって変更がコミットまたは取り消されるまで、仮想ネットワークを作成/更新/削除することはできません (変更を行ったユーザーでない限り)。

保留中の変更を作成したユーザーの名前を表示する権限が (割り当てられたロールに基づいて) ある場合は、その名前が表示されます。

「他のユーザーにステージングされた変更の上書きを許可する」権限を持つユーザーは、ブループリントの変更、変更の適用、および取り消しを行うことができます。

ロールベースのアクセス制御(RBAC)

LDAP、Active Directory、TACACS+、RADIUS などの認証プロバイダーが使用する外部グループにロールをマッピングできます。

強化されたロールベースのアクセス制御を使用すると、特定の権限を持つブループリント固有のロールを作成し、関連付けられたユーザーに限定された制御を許可することができます。これにより、より階層的なロールを作成し、ネットワークに対する偶発的な変更から保護することができます。

たとえば、汎用システムの管理ロールを割り当てられたユーザーは、汎用システムの追加、既存の汎用のコピー、汎用システムへのリンクの追加、リーフデバイスへのリンクの追加、およびノードタグの更新を行うことができます。ラックとリンクの管理というロールを割り当てられたユーザーは、これらすべての操作に加えて、ラック速度の変更やリンクの削除を行うことができます。ラックとリンクの管理ロールを持つユーザーは、基本的にすべてのFE/FFE操作に対する権限を持っています。ユーザーを物理サーバー操作のみに制限する場合は、「ラックおよびリンクの管理」役割ではなく、「汎用システムの管理」役割を割り当てます。

ユースケース

これらのユース ケースは、ロールとユーザーの操作方法を理解することを目的としています。ロールとユーザーを作成するための具体的な手順については、後のセクションで説明します。

特定のブループリントの読み取り、書き込み、コミット

ユーザーが特定のブループリントの読み取り、書き込み、コミットを行えるようにするには、指定したブループリントに対してブループリントごとのパーミッション ロールを作成します。[ ブループリントの読み取り]、[ ステージング ブループリントの変更]、および [ 変更をコミット] をオンに切り替えます。これらのアクセス許可には、[ 仮想ネットワークの管理 ] と [ 仮想ネットワーク エンドポイントの管理 ] が含まれますが、これらのアクセス許可はオンに切り替えられる場合と切り替えられない場合があります。ロールをユーザーに割り当てます。

特定のブループリントでのVNエンドポイントの管理

ユーザーが特定のブループリントの仮想ネットワーク エンドポイントのみを管理できるようにするには、 [ ブループリントごとのアクセス許可] を選択し、1 つ以上のブループリント ID (またはすべてのブループリントの場合は [すべて ] ) を選択してから、[ 仮想ネットワーク エンドポイントの管理] をオンに切り替えます。ロールをユーザーに割り当てます。

すべてのブループリントのリソースの読み取りと書き込み

ユーザーがブループリントのリソースの読み取りと書き込みを行えるようにするには、グローバル アクセス権ロールを作成します。[読み取り] と [書き込み] の [リソース] をオンに切り替えて、すべてのリソースを一度にオンに切り替えます。ロールをユーザーに割り当てます。

仮想ネットワークのみを作成する (リソースの割り当ては含まれません)

仮想ネットワークの作成とブループリントの詳細の確認のみにユーザーのロールを制限するには、ブループリントごとのアクセス許可のロールを作成し、特定のブループリントまたはすべてのブループリントを選択します。次に、 [ブループリントの読み取り]、[変更のコミット]、[仮想ネットワークの管理]、 [仮想ネットワーク エンドポイントの管理] をオンに切り替えます。[ステージング ブループリントに変更を加える] を選択しないと、仮想ネットワークに対してのみ実行できる変更が制限されます。ロールをユーザーに割り当てます。

仮想ネットワークの作成とリソースの割り当て

仮想ネットワークを作成してそれらにリソースを割り当てるには、次のようにいくつかのロールを割り当てます。

  • すべてのブループリントのリソースの読み取りと書き込み(前のセクションで説明)

  • 仮想ネットワークのみの作成 (リソースの割り当てを含まない) (前のセクションで説明) に [ ステージング ブループリントに変更を加えます] の切り替えを追加します。これにより、このロールを持つユーザーは、仮想ネットワークの変更以外の変更を行うこともできます。