アクセス制御リスト(ACL)
アクセス制御リストでメンバの追加と削除を行うことで、特定のファイル、フォルダ、アイテム、およびカスタム オブジェクトにアクセスできるユーザをコントロールすることができます。また、コンテンツの表示、修正、削除のうち、メンバの実行可能な操作をコントロールすることもできます。
注: アイテムおよびカスタム オブジェクトは Vault Professional で使用できます。
アクセス制御リストが定義されていないファイル、フォルダ、またはカスタム オブジェクトは、オブジェクト ベースのセキュリティを使用します。
オブジェクト ベースのセキュリティをオーバーライドすることができます。セキュリティのオーバーライドとは、オブジェクトに ACL が存在するが、新たに定義した ACL によりオーバーライドされていることを意味します。この ACL は、オーバーライド ACL (オーバーライド アクセス制御リスト)と呼ばれます。
オーバーライド ACL が存在している間、オブジェクト ベースのセキュリティは無視されます。ユーザがオーバーライド ACL を削除した場合は、オブジェクト ベースのセキュリティが新しいセキュリティとなります。オーバーライド ACL がアクティブな場合、ACL リストに登録されているメンバーおよびユーザのみにオブジェクトの権限があります。
次の表に、それぞれの権限を示します。
| [許可] | アクセス |
|---|
| Read | - [許可]: コンテンツを表示できます。
- [拒否]: コンテンツを表示できません。
- なし:
- メンバーにステータス レベルの明示的な[許可]権限があるが、オブジェクト ベースのセキュリティが[なし]に設定されている場合、メンバーのアクセスは拒否されます。
- メンバーが 2 つの異なるグループに所属し、オブジェクト ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なオブジェクト ベースのセキュリティ レベルの権限は、[許可]になります。
- メンバーが 2 つの異なるグループに所属し、ステータス ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なステータス ベースのセキュリティ レベルの権限は、[許可]になります。
- 権限が組み合わされている場合(オブジェクト ベースとステータス ベースのセキュリティが適用される場合)で、ステータス ベースまたはオブジェクト ベースのいずれかのセキュリティが[なし]に設定されている場合、アクセスは拒否されます。
.
|
| Modify | - [許可]: コンテンツを修正できます。
- [拒否]: コンテンツを修正できません。
- なし:
- メンバーにステータス レベルの明示的な[許可]権限があるが、オブジェクト ベースのセキュリティが[なし]に設定されている場合、メンバーのアクセスは拒否されます。
- メンバーが 2 つの異なるグループに所属し、オブジェクト ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なオブジェクト ベースのセキュリティ レベルの権限は、[許可]になります。
- メンバーが 2 つの異なるグループに所属し、ステータス ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なステータス ベースのセキュリティ レベルの権限は、[許可]になります。
- 権限が組み合わされている場合(オブジェクト ベースとステータス ベースのセキュリティが適用される場合)で、ステータス ベースまたはオブジェクト ベースのいずれかのセキュリティが[なし]に設定されている場合、アクセスは拒否されます。
|
| [Delete] | - [許可]: コンテンツを削除できます。
- [拒否]: コンテンツを削除できません。
- なし:
- メンバーにステータス レベルの明示的な[許可]権限があるが、オブジェクト ベースのセキュリティが[なし]に設定されている場合、メンバーのアクセスは拒否されます。
- メンバーが 2 つの異なるグループに所属し、オブジェクト ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なオブジェクト ベースのセキュリティ レベルの権限は、[許可]になります。
- メンバーが 2 つの異なるグループに所属し、ステータス ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なステータス ベースのセキュリティ レベルの権限は、[許可]になります。
- 権限が組み合わされている場合(オブジェクト ベースとステータス ベースのセキュリティが適用される場合)で、ステータス ベースまたはオブジェクト ベースのいずれかのセキュリティが[なし]に設定されている場合、アクセスは拒否されます。
|
| ダウンロード | - [許可]: コンテンツをダウンロードできます。
- [拒否]: コンテンツをダウンロードできません。
- なし:
- メンバーにステータス レベルの明示的な[許可]権限があるが、オブジェクト ベースのセキュリティが[なし]に設定されている場合、メンバーのアクセスは拒否されます。
- メンバーが 2 つの異なるグループに所属し、オブジェクト ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なオブジェクト ベースのセキュリティ レベルの権限は、[許可]になります。
- メンバーが 2 つの異なるグループに所属し、ステータス ベースのセキュリティ レベルの権限が 1 つのグループでは[なし]に設定され、もう 1 つのグループでは[許可]に設定されている場合、メンバーに対して有効なステータス ベースのセキュリティ レベルの権限は、[許可]になります。
- 権限が組み合わされている場合(オブジェクト ベースとステータス ベースのセキュリティが適用される場合)で、ステータス ベースまたはオブジェクト ベースのいずれかのセキュリティが[なし]に設定されている場合、アクセスは拒否されます。
|
オブジェクト ベースのセキュリティがステータス ベースのセキュリティと結合されている場合
結合されたセキュリティ(デュアル ゲート セキュリティ)を使用する場合に、次の使用例を 1 つまたは複数の Vault オブジェクトに適用することができます。
注: Vault 2016 以前の従来のセキュリティ(シングル ゲート セキュリティ)を使用するには、
ライフサイクル定義の[セキュリティをオーバーライド]オプションをオンにします。
オブジェクトの ACL | ステータス ベースの ACL | 生成される ACL |
|---|
許可 | 許可 | 許可 |
拒否 | 拒否 | 拒否 |
拒否 | 許可 | 拒否* |
Null | 拒否 | 拒否 |
許可 | Null | 拒否 |
Null | Null | 拒否 |
(ACL にない)Null | 許可 | 拒否* |
許可(サブセット グループ) | 許可(スーパーセット グループ) | 許可* (サブセット グループ) |
*生成される権限は、Vault 2016 以前で使用されていた従来のシングル ゲート セキュリティとは異なります。 |