空の ACL でデフォルトで拒否する (Security Center 1.3 で更新)

  • リリースバージョン: Yokohama
  • 更新日 2025年01月30日
  • 所要時間:2分
  • glide.sm.default_mode プロパティを使用して、既存のアクセス制御リスト (ACL) ルールがワイルドカードテーブルの ACL ルールの一部であることが判明した場合の、セキュリティマネージャーのデフォルトの動作を制御します。

    リソースに対して ACL が定義されていない場合、またはワイルドカードを使用したテーブルレベルの ACL (例:incident.*) のみが存在する場合に、インスタンスの従来のセキュリティマネージャーがリソースへのアクセスを許可できないようにします。デフォルトでアクセスが許可される場合、明示的な ACL が設定されていないものはすべて、操作の影響を受ける可能性があります。

    定義された ACL ルールがない場合、またはワイルドカードを使用したテーブルレベル ACL のみが存在する場合は、 glide.sm.default_mode システムプロパティ値を deny に設定してアクセスを禁止します。

    警告:
    これはセーフハーバープロパティです。つまり、いったん変更したら変えることはできません。元に戻すことはできません。

    詳細情報

    属性 説明
    プロパティ名 glide.sm.default_mode
    構成タイプ システムプロパティ (/sys_properties_list.do)
    カテゴリ アーキテクチャ、設計、および脅威のモデル化
    目的 セキュリティ上のベストプラクティスは、無許可のユーザーによるテーブルへのアクセスを制限することです。
    • テーブルに ACL ルールがない場合、このプロパティは、テーブル/フィールドで実行される CRUD 操作に対して少なくともワイルドカード ACL が検証されるようにします。
    • これらのルールでは、ユーザーが admin ロールを所有しているか、別のテーブル ACL ルールの要件を満たしている場合を除き、読み取り、書き込み、作成、削除の操作をすべてのテーブルで制限します。
    推奨値 拒否
    機能への影響このプロパティを [許可] に設定すると、ワイルドカードテーブル ACL ルールは、そのような操作を制限する特定のテーブル ACL ルールが存在する場合を除き、CRUD 操作をすべてのテーブルで許可します。
    注:
    このプラグインは、本番環境で既に使用されているテーブルへのセキュリティアクセスを変更する可能性があるため、既存のインスタンスを対象としていません。
    セキュリティリスク 6.3
    参照 デフォルトの拒否プロパティ

    システムプロパティの追加または作成の詳細については、「Add a system property」を参照してください。