IP アドレス管理の管理
IPAM の管理を構成することは、IPAM インフラストラクチャの展開方法や、インフラストラクチャを管理するユーザーによっては複雑なタスクになる場合があります。 たとえば、Contoso では、管理者が IPAM 内のすべての側面を管理できるようにすることも、管理機能を制限することもできます。 特定の管理タスクを管理者に割り当てる場合は、IPAM 機能領域または特定のサーバーに基づいてタスクを制限することができます。
RBAC
ユーザーとグループの詳細な制御を定義して確立するには、RBAC を使用して次のようにカスタマイズします。
- 役割。
- アクセス スコープ。
- アクセス ポリシー。
これにより、ユーザーとグループは、IPAM で管理される特定のオブジェクトに対して特定の管理操作のセットを実行できるようになります。
次の表のコンポーネントを使用して、IPAM でロールベースの管理を実装します。
コンポーネント | 説明 |
---|---|
Role | 役割は一連の IPAM 操作です。 アクセス ポリシーを使用して、Windows のユーザーまたはグループに役割を関連付けることができます。 利便性のために 9 つの組み込みの管理者ロールを使用できますが、ビジネス要件に合わせてカスタム ロールを作成することもできます。 ロールの作成と編集は、サーバー マネージャーの IPAM ノードの [アクセス制御] タブで行うことができます。 |
アクセス スコープ | アクセス スコープにより、ユーザーがアクセス可能なオブジェクトが決まります。 アクセス スコープを使用して IPAM 内の管理ドメインを定義できます。 たとえば、ユーザーの地理的な場所に基づいてアクセス スコープを作成することができます。 既定では、IPAM には Global という名前のアクセス スコープが含まれています。 他のすべてのアクセス スコープは Global アクセス スコープのサブセットになります。 Global アクセス スコープに割り当てたユーザーまたはグループは、割り当てられた役割によってアクセス許可が与えられる IPAM 内のすべてのオブジェクトにアクセスできます。 アクセス スコープは、IPAM 管理コンソールの [アクセス制御] ノードから作成および編集できます。 |
アクセス ポリシー | アクセス ポリシーでは、役割とアクセス スコープを組み合わせてユーザーまたはグループにアクセス許可を割り当てます。 たとえば、IP ブロック管理者という名前の役割と Global\Asia という名前のアクセス スコープを組み合わせてユーザーのアクセス ポリシーを定義できます。 ユーザーは、Asia アクセス スコープに関連付けられている IP アドレス ブロックを編集および削除するアクセス許可を持っていますが、IPAM 内の他の IP アドレス ブロックを編集または削除するアクセス許可は持っていません。 アクセス ポリシーは、IPAM 管理コンソールの [アクセス制御] ノードから作成および編集できます。 |
IPAM セキュリティ グループ
IPAM には、次の表に示すように、IPAM インフラストラクチャの管理に使用できる、いくつかの組み込みのロールベース セキュリティ グループがあります。
グループ名 | 説明 |
---|---|
IPAM 管理者 | このグループのメンバーには、すべての IPAM データにアクセスし、すべての IPAM タスクを実行するための特権があります。 |
IPAM MSM 管理者 | このグループのメンバーは、DHCP サーバー、スコープ、ポリシー、および DNS サーバーと、関連付けられているゾーンとレコードを管理できます。 |
IPAM DNS 管理者 | このグループのメンバーは、DNS サーバーとそれに関連付けられている DNS ゾーンおよびリソース レコードを管理できます。 |
DNS レコード管理者 | このグループのメンバーは、DNS リソース レコードを管理できます。 |
IPAM ASM 管理者 | このグループのメンバーは、一般的な IPAM 管理タスクに加えて、IP アドレス空間タスクを実行できます。 |
IP アドレス レコード管理者 | このグループのメンバーは、未割り当てアドレスを含む IP アドレスを管理できます。 メンバーは、IP アドレスのインスタンスを作成および削除できます。 |
IPAM DHCP 管理者 | このグループのメンバーは、DHCP サーバーとそのスコープを管理できます。 |
IPAM DHCP スコープ管理者 | このグループのメンバーは、DHCP スコープを管理できます。 |
IPAM DHCP 予約管理者 | このグループのメンバーは、DHCP 予約を管理できます。 |