コンテンツにスキップ
管理

証明書管理者ロール - UI

このガイドでは、F5 Distributed Cloud Console UI を使用してカスタム RBAC ロールを作成する手順を説明します。このロールは、HTTP ロードバランサーで使用される SSL/TLS 証明書および証明書チェーンの管理アクセスを付与します。プログラム的(API)なアプローチについては、API ガイドを参照してください。

F5 XC RBAC の仕組み

Section titled “F5 XC RBAC の仕組み”

F5 XC は3層のパーミッションモデルを使用しています:

api_group_element  (読み取り専用、システム定義)
       
       
   api_group       (読み取り専用、システム定義)
       
       
     role           (完全な CRUD — これがユーザーが作成するもの)

  1. api_group_element — 正規表現パスと HTTP メソッドを定義します (例:POST /api/config/.*/certificates)。システム管理のため、作成、変更、削除はできません。

  2. api_groupapi_group_element 参照の名前付きコレクションで、 機能領域ごとに整理されています。システム管理のため、作成、変更、削除はできません。グループは ves-io-proxy-readf5xc-waap-standard-admin のような命名規則を使用します。

  3. roleapi_group 名を配列で参照します。これがユーザーが作成する唯一の層です。 カスタムロールエンドポイントを使用して、特定の api_groups をロールに紐付けます。

proxy の読み取り/書き込みグループを選択することで、example-cert-admin ロールは、より広範なプロキシリソースアクセスの一部として SSL/TLS 証明書管理を付与します。

スコープと制限事項

Section titled “スコープと制限事項”

proxy の読み取り/書き込みグループを選択すると、割り当てられた名前空間内のすべてのプロキシリソースへのアクセスが付与されます — HTTP ロードバランサー、オリジン、ルート、証明書のすべてが含まれます。ロールを証明書のみに制限する方法はありません。

F5 XC は、ユーザーが作成する api_groupapi_group_element オブジェクトをサポートしていません。プラットフォームはこれらを読み取り専用として事前定義しており、ロールは既存のグループ名のみを参照できます。証明書操作のみにスコープされたシステム定義グループは存在しません。

緩和策 — 名前空間の分離: 証明書リソースを専用の名前空間に配置し、example-cert-admin ロールのスコープをその名前空間に限定します。これにより、分離された名前空間内での完全な証明書管理を付与しつつ、ユーザーが他の名前空間のプロキシリソースにアクセスすることを防止できます。

前提条件

Section titled “前提条件”
  • F5 Distributed Cloud Console への管理者アクセス

ステップ 1: ロール管理に移動

Section titled “ステップ 1: ロール管理に移動”
  1. F5 Distributed Cloud Console にログインします
  2. ホームページの Administration タイルをクリックします
  3. 左側のナビゲーションメニューで IAM > Roles を選択します
  4. + Add Role をクリックします

ステップ 2: ロールに名前を付ける

Section titled “ステップ 2: ロールに名前を付ける”

Role Name フィールドに example-cert-admin と入力します。

ロールの命名規則:

  • 小文字、数字、ハイフンのみ使用可能
  • 2つの小文字で始める必要があります
  • 最大64文字

ステップ 3: Proxy API グループを追加

Section titled “ステップ 3: Proxy API グループを追加”

証明書のパーミッションはプロキシ機能領域の一部です。証明書管理アクセスを付与するために、以下の API グループを追加します:

  1. + Allowed API Groups をクリックします
  2. 検索/フィルターフィールドに ves-io-proxy と入力します
  3. 以下の API グループを選択します:
API グループ付与される権限
ves-io-proxy-read証明書を含むプロキシリソースへの読み取りアクセス
ves-io-proxy-write証明書を含むプロキシリソースへの書き込みアクセス
  1. Save をクリックして選択した API グループを確定します

ステップ 4: ロールを保存

Section titled “ステップ 4: ロールを保存”

サマリーで選択した API グループを確認し、Save をクリックしてロールを作成します。

ステップ 5: ロールを検証

Section titled “ステップ 5: ロールを検証”
  1. IAM > Roles に移動します
  2. ロール一覧で example-cert-admin をクリックします
  3. 両方の API グループがリストされていることを確認します

参考資料

Section titled “参考資料”