旧バージョンのドキュメントを参照しています。 最新のドキュメントはこちらをご参照ください。
ワークスペースとチームによるアクセス制御
このトピックでは、Kong Managerを使用し、Kong Gatewayのワークスペースとチームを使ってユーザー認証を管理および構成する方法を学習します。
Gatewayインストールの保護
簡単に言えば、Kong Gateway 管理のセキュリティ保護は、以下の 2 つの手順から成るプロセスです。
- RBAC を有効にします。
- 分離管理のためのワークスペースと管理者を作成します。
次のセクションでは、Kong Gatewayにログインするためにkong_admin
アカウントのパスワードが必要になり、CORSエラーが発生しないようにkong_admin_uri
を構成する必要があります。
前提条件
- RBACが有効になっています
-
スーパー管理者としてログインする、 または
/admins
と/rbac
の読み取りおよび書き込みのアクセス権を持つユーザーです。
ワークスペースを作成する
この例では、まず SecureWorkspace
という単純なワークスペースの作成から始めます。
Kong Managerにログインします
-
Kong Managerにアクセスするか、すでに開いている場合はページをリロードしてログイン画面を表示します。
-
組み込みのスーパー管理者アカウント、
kong_admin
、そのパスワードでKong Managerにログインします。これは、インストール中に移行を実行したときに使用した初期
KONG_PASSWORD
であることに注意してください。 -
正常にログインした場合は、Kong Gateway クラスタの管理を開始できます。
この手順が機能せず、認証情報が正しいことが確認できている場合は、 Kong Gatewayの構成に問題がある可能性があります。設定を再確認してください。問題の原因がまだ不明な場合は、 Kong KonnectアカウントチームおよびKong サポートに問い合わせて支援を受けてください。
ワークスペースの作成
-
Kong Managerインスタンスにアクセスします。
-
ワークスペース タブで、 新しいワークスペース をクリックします。
-
SecureWorkspace
という名前のワークスペースを作成し、ワークスペースのアバターの色または画像を選択します。ワークスペース名は大文字と小文字が区別されます (”Payments” と “payments” は等しくありません)。混乱を避けるため、ワークスペースには大文字と小文字に関係なく一意の名前を付けることをお勧めします。
なお、ワークスペースにKong Managerのこれらの主要ルートと同じ名前を付けないでください。管理者 API 証明書 コンシューマ プラグイン ポータル ルート サービス SNI アップストリーム Vitals PermalinkStep -
[新しいワークスペースの作成] をクリックして、新しいワークスペースのダッシュボードを開きます。
-
チーム タブをクリックします。
-
チーム(Teams)ページで 役割(Roles) タブをクリックします。
-
Kong Gatewayに付属するデフォルトのロールを表示するには、
SecureWorkspace
を選択します。デフォルトでは、新しいワークスペースごとに次のロールと権限が与えられます。
ロール 説明 ワークスペース管理者 RBAC Admin APIを除くワークスペース内のすべてのエンドポイントへのフルアクセス。 workspace-portal-admin ワークスペース内のDev Portal関連エンドポイントへのフルアクセス。 ワークスペース読み取り専用 ワークスペース内のすべてのエンドポイントへの読み取りアクセス。 workspace-super-admin ワークスペース内のすべてのエンドポイントへのフルアクセス。
注:
-
注意 デフォルト のワークスペースへのアクセス権を付与すると、組織のすべてのワークスペースへのアクセス権が付与されます。
-
デフォルト のワークスペースには、 workspace-admin 、 workspace-super-admin 、 workspace-read-only の 3 つのロールしかありません。他のすべてのワークスペースには、上記の 4 つのロールがあります。
-
ロールを追加 ボタンをクリックし、そのロールを持つ管理者が操作できるエンドポイントを指定して、カスタムロールを作成することもできます。
管理者の作成
次に、SecureWorkspaceの管理者を作成し、そのワークスペースのみを管理する権限を付与します。
新しい管理者の招待
-
チーム > 管理者 タブから、 管理者を招待 をクリックします。
-
新しい管理者の メールアドレス 、 ユーザー名 、および カスタムID を入力します。
-
RBAC トークンの有効化(Enable RBAC Token) が有効になっていることを確認します。
この設定により、新しい管理者は Kong Manager だけでなく Admin API も使用できるようになります。
-
ロールの追加/編集 をクリックします。
-
ワークスペースへのアクセス ダイアログの中で、 SecureWorkspace を選択します。
-
workspace-admin ロールを選択し、このユーザをSecureWorkspace用のワークスペース管理者に設定します。
ロールの追加が完了すると、 管理者を招待 するダイアログにリダイレクトされます。
重要: 先に進む前に、 RBAC トークンを有効にする チェックボックスがオンになっていることを確認します。RBAC トークンにより、新しい管理者は Admin API を使用してシステムをプログラムで構成できるようになります。
-
招待を送信するには、 管理者を招待 をクリックします。
SMTPが設定されている場合、Kong Managerは登録リンクを含むメールを送信します。
SMTPが有効になっていない場合は、次の手順に従って登録リンクを手動で生成します。
管理者を手動登録
-
チーム ページに戻り、先ほど作成した管理者をクリックします。
-
登録リンク生成 ボタンをクリックします。
新しい管理者は、ブラウザを開いてこのリンクをペーストし、アカウントを開設して初期パスワードを作成できます。繰り返しになりますが、通常、これはSMTPを介して行われ、ユーザーはEメールでこのリンクを受け取ります。
-
コピーアイコン をクリックして登録リンクをコピーし、保存します。
-
登録リンクを新しい管理者に送信するか、自分で使用して次の手順でログインをテストします。
-
別のブラウザを開くか、現在のブラウザでシークレットタブを開きます。
-
以前にコピーした登録リンクをブラウザに入力して、新しい管理者としてログインします。
登録リンクの有効期限が切れている場合は、
kong_admin
管理者でログインして新しいリンクを生成することで、新しいリンクを作成できます。 -
新しい管理者の新しいパスワード(安全な場所に保存してください)を入力し、 登録 ボタンをクリックします。
すべてがうまくいけば、「アカウント設定が成功しました」というメッセージが表示されます。
新しい管理者を確認する
-
ログイン ボタンをクリックすると、新しい管理者でログインするための新しい画面に切り替わります。
-
新しい管理者の ユーザー名 と パスワード を入力し、再度 ログイン をクリックします。
ログインすると、SecureWorkspaceのみが表示されます。
-
このユーザーの管理権限が制限されているか確認することもできます。このユーザーとして、チームタブを開いて、新しい管理者、Admin API ユーザー(RBACユーザー)、グループ、またはロールを追加しようとしても、そのための権限がありません。
これで、RBACを使用してKong Gateway管理へのアクセスを制御している状態になります。