z/OSMF のセキュリティー構造
z/OSMF を使用するには、z/OS® での十分な権限が必要です。 具体的には、管理対象の z/OS システムで、ユーザーに代わってアクセスされるリソース (データ・セット、オペレーター・コマンドなど) は、ご使用のシステムにある外部セキュリティー・マネージャー (RACF® など) を使用して保護されています。 ご使用のシステムのセキュリティー管理者は、外部セキュリティー・マネージャーでこれらの許可を作成する必要があります。 セキュリティー管理者を支援するために、z/OSMF は、SYS1.SAMPLIB でサンプル・ジョブを提供するほか、本書で情報を提供しています。 セキュリティー管理者は、サンプル・ジョブを使用して 、z/OSMF 構成用の グループ、ユーザー ID、およびリソース・プロファイルを作成できます。 後で、これらのz/OSMF構成体では、システム上の既存のグループ、ユーザー ID、リソース追加アクセス権が必要になります。
この付録では、z/OSMF のセキュリティー構成要件について説明します。 ご使用のシステムで以下の 1 つ以上のサンプル・セキュリティー・ジョブを実行するときに作成されるリソース許可を記載しています。
- z/OSMF 中核構成の基本セキュリティーのセットアップに役立つ IZUNUSEC
- コア・サービス用の個々の IZUxxSEC ジョブ
- z/OSMF中核とコア・サービスの両方の安全設定を統合する IZUSEC ジョブ
- オプション・サービス用の個々の IZUxxSEC ジョブ
また、ご使用のシステムが構成プロセスの外部で定義する必要があるリソース許可もリストしています。
z/OSMF のセキュリティー構成要件について、以下のセクションで説明しています。 これらの許可の作成には、セキュリティー管理者の支援が必要になります。
- z/OSMF で必要なクラス活動化
- z/OSMF リソースの SAF プロファイル・プレフィックス
- 構成時に z/OSMF が作成するユーザー ID
- 構成時に z/OSMF が作成するセキュリティー・グループ
- セキュリティー構成アシスタント・サービスのリソース許可
- z/OSMF コア機能のリソース許可
- ハードウェア圧縮に対するリソース許可
- ハードウェア暗号化に対する リソース許可
- 共通情報モデルのリソース許可
- キャパシティー・プロビジョニング・マネージャーのリソース許可
- 共通イベント・アダプター (CEA) のリソース許可
- z/OS コンソール REST インターフェースのリソース認証
- z/OS データ・セットおよびファイル REST インターフェースのリソース認証
- z/OS ジョブ REST インターフェースのリソース認証
- キャパシティー・プロビジョニング サービスのリソース認証
- Network Configuration Assistant サービスのリソース認証
- インシデント・ログ サービスのリソース認証
- ISPF サービスのリソース認証
- リソース・モニター サービスのリソース認証
- ソフトウェア・デプロイメント サービスのリソース認証
- シスプレックス管理サービスのリソース許可
- ワークロード管理 サービスのリソース認証.
- IBM zERT Network Analyzer サービスのリソース認証
- 表 25
z/OSMF で必要なクラス活動化
RACF インストールの場合、z/OSMF を構成する際に、表 1 に表示されているセキュリティー・クラスがアクティブでなければなりません。 IZUxxSEC ジョブ内のコメント化されたセクションには、クラスをアクティブにする (総称プロファイル・チェックをアクティブにした状態で) コマンドが含まれています。 ジョブが実行されるとコマンドが発行されるようにするには、これらのセクションのコメントを外してください。 または、コマンドを直接入力するようにセキュリティー管理者に依頼してください (表 1 を参照)。
| クラス | 目的 | 活動化するための RACF コマンド |
|---|---|---|
| ACCTNUM | z/OSMF REST インターフェース用のプロシージャーに使用されるアカウント番号へのアクセスを制御します。 |
|
| APPL | z/OSMF アプリケーション・ドメインへのアクセスを制御します。 このアクセスは以下で必要とされます。
APPL クラスに一致するプロファイルがない場合、RACF はユーザーにアプリケーションへのアクセスを許可します。 |
|
| EJBROLE | z/OSMFコア機能とタスクに接続ユーザー能力を制御します。z/OSMF は、コア機能とタスクごとにリソース名を定義します。 |
|
| FACILITY | ユーザーがアクションを実行するときにプロファイルに対するユーザーのアクセス権限を制御します。 このアクセス権限は、z/OSMF 開始タスク・ユーザー ID (デフォルトで IZUSVR) で必要です。 例としては、z/OS UNIX 環境で特権を制御するために使われるプロファイルなどです。 |
|
| JESSPOOL | ユーザーに対して、システム・ログ (SYSLOG) からメッセージを取得することを許可します。 |
|
| LOGSTRM | ユーザーに対して、運用ログ (OPERLOG) からメッセージを取得することを許可します。 |
|
| OPERCMDS | ユーザーに対して、z/OS オペレーター・コンソール・タスクを使用して EMCS コンソールを作成することを許可します。 |
|
| SERVAUTH | ユーザーが CEA TSO/E アドレス・スペース・サービスを使用できるかどうかを制御します。 z/OSMF では、この
アクセスは以下で必要とされます。
|
|
| SERVER | z / OSMF開始タスクのユーザーIDが、システム許可機能(SAF)、ワークロード管理(WLM)、SVCDUMPサービスなどの z/OSシステム・コンポーネントからのサービスを請求できるようにします。 |
|
| STARTED | MVS™ START コマンドの処理中に、 z/OSMF 開始タスクに ID を割り当てます。 デフォルトで、開始タスクは IZUSVR ユーザー ID で実行されます。 |
|
| TSOAUTH | ユーザーに対して、z/OS オペレーター・コンソール・タスクを使用して EMCS コンソールを作成することを許可します。 |
|
| TSOPROC | z/OSMF REST インターフェース用のプロシージャーへのアクセスを制御します。 |
|
| ZMFAPLA | z/OSMF のコア機能とタスクを使うユーザーの能力を制御します。 z/OSMF は、コア機能とタスクごとにリソース名を定義します。
|
|
| ZMFCLOUD | ユーザーがIBM®CloudProvisioningに関連するz / OSMFコア機能およびタスクを使用できるようにします。 z / OSMFは、 IBMCloudProvisioningの各コア機能およびタスクのリソース名を定義します。 詳細は クラウド・プロビジョニング・サービスの構成 を参照してください。 ZMFCLOUD クラスには RACLIST オプションが必要です。 |
|
ご使用のシステムで RACF 以外の外部セキュリティー・マネージャーを使用する場合は、ご使用の環境用に同等のコマンドを作成するようにセキュリティー管理者に依頼してください。
z/OSMF リソースの SAF プロファイル・プレフィックス
構成プロセス中に、セキュリティー管理者は z/OSMF リソースに対して IZUxxSEC ジョブを実行します。 これらのジョブでは、ご使用のシステムで、 z/OSMF リソースの命名に使われるシステム許可機能 (SAF) プロファイル接頭部を指定します。 SAF プレフィックスは z/OSMF リソース・プロファイルの名前の前に付加され、IZUxxSEC ジョブに含まれている一部の RACF コマンドで使用されます。
本書の例では、 SAF接頭部が<SAF-prefix>として表示されています。デフォルトでは、SAF 接頭部は IZUDFLTです。 ご使用のシステムで別の値を使用することを選択した場合は、例の値を置き換えてください。
構成時に z/OSMF が作成するユーザー ID
IZUSEC ジョブは、表 2で説明されているユーザー ID を作成します。
| ユーザー ID | 目的 | デフォルトの UID | 作成元 |
|---|---|---|---|
| IZUGUEST | 「Welcome」ページへのゲスト・ユーザー・アクセスなど、非認証作業を実行するためのユーザー ID。 | 9011 | IZUSEC ジョブ |
| IZUSVR | デフォルトで IZUANG1 および IZUSVR1 という名前の z/OSMF 開始タスクのユーザー ID。 | 9010 | IZUSEC ジョブ |
表 2 は IBM のデフォルト値を示します。 セキュリティー管理者は、IZUSEC ジョブでデフォルトのユーザー ID の代わりに別のユーザー ID を指定できます。
構成時に z/OSMF が作成するセキュリティー・グループ
IZUSECジョブは、z/OSMF構成のセキュリティー・グループの基本セットを作成します。 これらのグループは、z/OSMF および z/OS システム・リソースへの適切なアクセス・レベルをユーザーに提供するのに必要です。
セキュリティー・チームは、既存のグループ名が優先されるかを確認することができます。 その場合は、提供されるz/OSMFデフォルト・グループ名の代わりに既存グループ名を使用できます。 例えば、管理者と連携したグループがすでにある場合があります。その場合は、管理者の z/OSMF デフォルト・グループ IZUADMIN の代わりに、そのグループを使用できます。
| Group | 目的 | 作成元 |
|---|---|---|
| IZUADMIN | z/OSMF 管理者ロールのセキュリティー・グループ。 このグループに接続されるユーザー ID はすべて、 z/OSMF 管理者であると見なされます。 | IZUSEC ジョブ |
| IZUUSER | z/OSMF ユーザー役割のセキュリティー・グループ。 | IZUSEC ジョブ |
| IZUSECAD | z/OSMF における z/OS セキュリティー管理者役割のセキュリティー・グループ。 | IZUSEC ジョブ |
| IZUUNGRP | z/OSMF 非認証ユーザー ID のセキュリティー・グループ。 | IZUSEC ジョブ |
セキュリティー構成アシスタント・サービスのリソース許可
表 4 では、セキュリティー構成アシスタント・サービスのアクセス要件について説明します。 IZUSASEC ジョブには、ご使用のシステム上でこれらの許可を作成するため
のサンプル RACF コマンドが入っています。 これらの値は、ご使用システムの値によって異なる場合があります。表 4はIBM のデフォルト値を示します。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| SERVER | BBG.SECCLASS.ACCTNUM | IZUSVR | READ | SERVER クラス内の ACCTNUM プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.APPL | IZUSVR | READ | SERVER クラス内の APPL プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.CSFSERV | IZUSVR | READ | SERVER クラス内の CSFSERV プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.EJBROLE | IZUSVR | READ | SERVER クラス内の EJBROLE プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.FACILITY | IZUSVR | READ | SERVER クラス内の FACILITY プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.JESSPOOL | IZUSVR | READ | SERVER クラス内の JESSPOOL プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.LOGSTRM | IZUSVR | READ | SERVER クラス内の LOGSTRM プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.OPERCMDS | IZUSVR | READ | SERVER クラス内の OPERCMDS プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.RDATALIB | IZUSVR | READ | SERVER クラス内の RDATALIB プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.SERVAUTH | IZUSVR | READ | SERVER クラス内の SERVAUTH プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.SERVER | IZUSVR | READ | SERVER クラス内の SERVER プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.STARTED | IZUSVR | READ | SERVER クラス内の STARTED プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.TSOAUTH | IZUSVR | READ | SERVER クラス内の TSOAUTH プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.TSOPROC | IZUSVR | READ | SERVER クラス内の TSOPROC プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.UNIXPRIV | IZUSVR | READ | SERVER クラス内の UNIXPRIV プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.ZMFAPLA | IZUSVR | READ | SERVER クラス内の ZMFAPLA プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| SERVER | BBG.SECCLASS.ZMFCLOUD | IZUSVR | READ | SERVER クラス内の ZMFCLOUD プロファイルに対して許可検査を実行する権限をサーバーに付与します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF. CONFIGURATION.SECURITY_ASSISTANT |
IZUADMIN
|
READ | ユーザーに対して、セキュリティー構成アシスタント・タスクへのアクセスを許可します。 表の注 1 および 2 を参照してください。 |
- 機能、タスク、およびリンクに対するユーザー許可は 、System Authorization Facility (SAF) プロファイル・プレフィックスによって制御されます。 デフォルトで、SAF プレフィックスは IZUDFLT です。
- ユーザーが z/OSMFで作業するには、少なくともプロファイル
<SAF-prefix>.ZOSMFへのREADアクセスが必要です。 この許可なしでは、ユーザーは認証されたゲストとして扱われます。 つまり、ユーザーは z/OSMF にログインして、 ようこそページを表示できますが、z/OSMF機能とタスクにアクセスすることはできません。
z/OSMF コア機能のリソース許可
表 5 では、z/OSMF コア機能のアクセス要件について説明します。 IZUSEC ジョブには、ご使用のシステム上でこれらの許可を作成するためのサンプル RACF コマンドが入っています。 これらの値は、構成プロセス中に指定した値に基づいて変更できます。表 5はIBM のデフォルト値を示します。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| ACCTNUM | IZUACCT | IZUADMIN IZUUSER | READ | アカウント番号に呼び出し元がアクセスできるようにします。このアカウント番号は、z/OSMF REST インターフェースのためのプロシージャーに使用されます。 |
| APPL | <SAF-prefix> |
IZUADMIN IZUGUEST IZUUSER IZUSECAD |
READ | z/OSMF アプリケーション・ドメインへのアクセスを許可します。 APPL クラスに一致するプロファイルがない場合、RACF はユーザーにアプリケーションへのアクセスを許可します。 |
| CERT | デフォルトのzOSMFCert です。<SAF-prefix> |
IZUSVR ユーザー ID によって所有 | N/A | ブラウザーと z/OSMF サーバーのセキュア通信に必要とされます。 |
| CERT | zOSMFCA | N/A | N/A | ブラウザーとz/OSMFサーバーのセキュア通信に必要な認証局。 |
| CSFSERV | CSF* プロファイル | IZUSVR | READ | z/OS Integrated Cryptographic Service Facility (ICSF) の呼び出し可能サービス。インストールでICSFを使用したハードウェア暗号化を使用する場合は、ハードウェア暗号化に対する リソース許可に説明されるように、これらのサービスにz / OSMFサーバーのユーザーIDを許可する必要があります。 |
| DATASET | your_stack_include_dataset | IZUSVR | ALTER | ネットワーク・リソースのプロビジョン時またはプロビジョン解除時に z/OSMF サーバーが構成済みの包含データ・セットに書き込むことができるようにします。 スタックごとに 1 つの包含データ・セットが IBM クラウド・プロビジョニングに定義されています。 この定義は、ご使用のシステムでデータ・セット・アクセスを保護するために個別プロファイルまたは総称プロファイルを使用している場合にのみ適用されます。 |
| DATASET | your_stack_dynamic_update_dataset | IZUSVR | ALTER | ネットワーク・リソースのプロビジョン時またはプロビジョン解除時に z/OSMF サーバーが構成済みの動的更新データ・セットに書き込むことができるようにします。 スタックごとに 1 つの動的更新データ・セットが IBM クラウド・プロビジョニングに定義されています。 この定義は、ご使用のシステムでデータ・セット・アクセスを保護するために個別プロファイルまたは総称プロファイルを使用している場合にのみ適用されます。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacility.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが z/OSMF にログオンし、ウェルカム・ページを表示できるようにします。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityHelpApp.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが z/OSMF オンライン・ヘルプ・システムに接続できるようにします。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityImportUtility.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが インポート・マネージャータスクを使って、サービス、イベント・タイプ、イベント・ハンドラーおよびリンクを z/OSMFにインポートすることを許可します。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityRestConsoles.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーがz/OS コンソール REST インターフェースに接続できるようにを許可します。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityRestFiles.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーがz/OS データ・セットおよびファイル REST インターフェースに接続できるようにを許可します。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityRestJobs.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーがz/OS ジョブ REST インターフェースに接続できるようにを許可します。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityTsoServices.izuUsers |
IZUADMIN | READ | オペレーター・コンソール・タスクのユーザーに対して、シスプレックス内の他のシステム上のアドレス・スペースの開始または再接続を許可します。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityWorkflow.izuUsers |
IZUADMIN
IZUUSER IZUSECAD |
READ | ユーザーが ワークフロー タスクに接続できるようにします。 |
| EJBROLE | <SAF-prefix> .com.ibm.ws.management.security. resource.allAuthenticatedUsers |
IZUADMIN
IZUUSER |
READ | ユーザーに対して、IBM Cloud Provisioning and Management for z/OS REST API に関する情報を表示することを許可します。 RESTサービスの詳細については、 IBM z/OS Management Facility Programming Guide.IBM z/OS Management Facility Programming Guideを参照してください。 |
| FACILITY | BBG.SYNC.<SAF-prefix> |
IZUSVR | CONTROL | z/OSMF サーバーが任意の RunAs ID を OS ID と同期できるようにします。 |
| FACILITY | BPX.CONSOLE | IZUSVR | READ | ユーザーが z/OS UNIX メッセージをフィルターに掛けることができるようにします。 具体的には、この設定は、z/OSMFコンソールに書き込むすべてのオペレーターへの書き込み(WTO)メッセージからのBPXM023Iメッセージ接頭部を抑制します。 |
| FACILITY | BPX.WLMSERVER | IZUSVR | READ | z/OSMF サーバーが WLM 機能を使用して作業要求を作成および管理できます。 |
| FACILITY | HWI.APPLNAME.HWISERV | IZUADMIN | READ | 管理者グループに対して、BCPii サービスへのアクセス権を付与します。 |
| FACILITY | HWI.TARGET.<netid.nau> | IZUADMIN | READ | 管理者に対して、CPC の BCPii 要求タイプへのアクセスを許可します。 |
| FACILITY | HWI.TARGET.<netid.nau>.<imagename> | IZUADMIN | READ | 管理者が LPAR の BCPii 要求タイプにアクセスできるようにします。 |
| FACILITY | IRR.DIGTCERT.LISTRING | IZUSVR | READ | 開始タスク・ユーザー ID が証明書鍵リングをリストし、取得できるようにします。 |
| FACILITY | IRR.RUSERMAP | IZUSVR | READ | 開始タスク・ユーザー ID が R_usermap サービスを使用できるようにします。 この許可は、z/OSMF 通知機能に必要です。 z/OSMF サーバーは、R_usermap サービスを使用して、RACF ユーザー ID に関連付けられているアプリケーション・ユーザー ID を判別したり、アプリケーション・ユーザー ID またはデジタル証明書に関連付けられている RACF ユーザー ID を判別したりします。 |
| KEYRING | IZUKeyring.<SAF-prefix> |
IZUSVR | N/A | セキュア通信に必要です。 |
| OPERCMDS | MVS.MCSOPER.IZU@* |
IZUADMIN
IZUUSER |
READ | ユーザーが拡張 MCS コンソールを操作できるようにします。 |
| OPERCMDS | MVS.VARY.TCPIP.OBEYFILE | IZUSVR | CONTROL | z/OSMF サーバーが IBM クラウド・プロビジョニングに対して VARY TCPIP OBEYFILE コマンドを発行できるようにします。 この定義は、ご使用のシステムで VARY TCPIP OBEYFILE コマンドへのアクセスを制限するために OPERCMDS クラスを使用している場合にのみ適用されます。 |
| OPERCMDS | MVS.MCSOPER.ZCDPLM* | IZUSVR | READ | z/OSMF サーバーが IBM クラウド・プロビジョニングに対して各種のオペレーター・コマンドを発行できるようにします。 この拡張 MCS コンソールのコンソール名は、テキスト・ストリング ZCDPLM に z/OSMF インスタンスのシステムの MVS sysclone 値が付加されたものです。 |
| OPERCMDS | MVS.DISPLAY.XCF | IZUSVR | READ | z/OSMF サーバーが IBM クラウド・プロビジョニングに対して DISPLAY XCF オペレーター・コマンドを発行できるようにします。 この定義は、ご使用のシステムで DISPLAY XCF オペレーター・コマンドへのアクセスを制限するために OPERCMDS クラスを使用している場合にのみ適用されます。 |
| OPERCMDS | MVS.ROUTE.CMD<sysname> | IZUSVR | READ | z/OSMFサーバーがIBM Cloud z/OSのプロビジョニングと管理のROUTEオペレーターコマンドを発行できるようにします。 この定義は、ご使用のシステムで ROUTE コマンドの使用を制限するためにこのプロファイルを使用している場合にのみ適用されます。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST |
IZUADMIN
IZUUSER |
READ | z/OS システム上の HTTP クライアント・ アプリケーションが TSO/E アドレス・スペースの起動と管理を行えるようにします。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST | IZUSVR | READ | z/OSMF サーバー が TSO/E アドレス・スペース・サービスの起動と管理を行えるようにします。 |
| SERVAUTH | CEA.SIGNAL.ENF83 | IZUSVR | READ | z/OSMF サーバーがシスプレックス内の他のシステムにその状況を通知するために ENF83 を使用できるようにします。 |
| SERVAUTH | EZB.INITSTACK.sysname.tcpname | IZUSVR | READ | z/OSMF サーバーが TCP/IP 初期化中に TCP/IP スタックにアクセスできます。 この許可は、TCP/IP プロファイルが Application Transparent Transport Layer Security (AT-TLS) を活動化する場合に必要です。 |
| SERVAUTH | EZB.NETWORKUTILS.CLOUD.mvsname | IZUSVR | READ | z / OSMF開始タスクのユーザーIDがIBMCloudProvisioningのオペレーター・コマンドを発行できるようにします。 mvsnameは、z / OSMFサーバーが実行されているシステムの名前です。 |
| SERVAUTH | EZB.NETSTAT.<mvsname>.<tcpname> | IZUSVR | READ | z/OSMF 開始タスク・ユーザー ID が NETSTAT コマンドを発行できるようにします。 そうでない場合、z/OSMF サーバーの初期設定は失敗します。 この定義は、ご使用のシステムで AT-TLS ポリシーを構成している場合にのみ適用されます。 |
| SERVAUTH | EZB.NETSTAT.<mvsname>.<tcpprocname>.CONFIG | IZUSVR | Network Configuration Assistant タスクがコマンド NETSTAT CONFIGを発行できるようにします。 この定義は、ご使用のシステムで NETSTAT コマンドの使用を制限するために SERVAUTH クラスを使用している場合にのみ適用されます。 この定義が適用可能な場合、IZUSVRは、IBM Cloud z/OSのプロビジョニングと管理に対して定義されたスタックごとに許可しなければなりません。 | |
| SERVAUTH | EZB.NETSTAT.<mvsname>.<tcpprocname>.VIPADCFG | IZUSVR | READ | z/OSMF 開始タスク・ユーザー ID が NETSTAT VIPADCFG コマンドを発行できるようにします。 この定義は、ご使用のシステムで NETSTAT コマンドの使用を制限するために SERVAUTH クラスを使用している場合にのみ適用されます。 この定義が適用される場合、z/OSMF 開始タスクユーザー ID は、IBM クラウド・プロビジョニングに定義されている各スタックに対して許可されている必要があります。 |
| SERVER | BBG.ANGEL | IZUSVR | READ | z/OSMF サーバーがエンジェル・プロセスにアクセスできるようにします。 |
| SERVER | BBG.ANGEL.IZUANG1 | IZUSVR | READ | z/OSMF サーバーに対して、z/OSMF 名前付きエンジェル・プロセスへのアクセスを許可します。 |
| SERVER | BBG.ANGEL.proc-name | IZUSVR | READ | z/OSMF サーバーが z/OS 許可サービスを使用できます。 |
| SERVER | BBG.AUTHMOD.BBGZSAFM | IZUSVR | READ | z/OSMF サーバーが SAF 許可レジストリーにアクセスできるようにします。 |
| SERVER | BBG.AUTHMOD.BBGZSAFM.SAFCRED | IZUSVR | READ | z/OSMF サーバーが SAF 許可サービスにアクセスできるようにします。 |
| SERVER | BBG.AUTHMOD.BBGZSAFM.TXRRS | IZUSVR | READ | z/OSMF サーバーがトランザクション・サービスにアクセスできるようにします。 |
| SERVER | BBG.AUTHMOD.BBGZSAFM.ZOSDUMP | IZUSVR | READ | z/OSMF サーバーが SVC ダンプ・サービスにアクセスできるようにします。 |
| SERVER | BBG.AUTHMOD.BBGZSAFM.ZOSWLM | IZUSVR | READ | z/OSMF サーバーが WLM サービスにアクセスできるようにします。 |
| SERVER | BBG.SECCLASS.ZMFAPLA | IZUSVR | READ | z/OSMF サーバーが ZMFAPLA クラスの検査を許可できるようにします。 |
| SERVER | BBG.SECPFX.<SAF-prefix> |
IZUSVR | READ | z/OSMF サーバーが APPL-ID に対して認証呼び出しを行うことができるようにします。 |
| STARTED | IZUINSTP.IZUINSTP | IZUADMIN | N/A |
z/OSMF 従属アドレス・スペースの開始タスクを定義します。このタスクは、z/OS UNIX および TCP/IP が使用可能かどうかの判別に使用されます。 ジョブ名は IZUINSTP です。 これが行われない場合、z/OSMF 従属アドレス・スペースは z/OSMF 自動始動処理中に初期化されません。 |
| STARTED | IZUSVR1.jobname | IZUADMIN | N/A | z/OSMF サーバー・プロセスの開始タスクを定義します。 |
| STARTED | IZUANG1.jobname | IZUADMIN | N/A | z/OSMFエンジェルプロセスの開始タスクを定義します。 |
| TSOAUTH | CONSOLE |
IZUADMIN
IZUUSER |
READ | ユーザーが拡張 MCS コンソールを活動化するために TSO/E CONSOLE コマンドを発行できるようにします。 |
| TSOPROC | IZUFPROC | IZUADMIN IZUUSER | READ | 呼び出し元が、z/OSMF REST インターフェースのためのプロシージャーにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF |
IZUADMIN
IZUGUEST IZUUSER IZUSECAD |
READ | 認証されていないゲストユーザーではなく、ユーザーをz/OSMFユーザーとして指定します。 この権限は、ユーザーが z/OSMF にログインし、ようこそページを表示できるようにするための最小要件です。 この許可なしでは
、ログインしたユーザーは認証されたゲストとして扱われます。 この表で後に示す他の ZMFAPLA リソース名を使用して、コア機能とタスクごとに特定のコントロールを作成します。 表の注 1 および 2 を参照してください。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.GENERAL.SETTINGS |
IZUADMIN | READ | ユーザーが タスクの設定 タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.APPLINKING |
IZUADMIN | READ | ユーザーが アプリケーション・リンク・マネージャー タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.DIAGNOSTIC_ASSISTANT |
IZUADMIN | READ | ユーザーが z/OSMF 診断アシスタント タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.IMPORTMANAGER | IZUADMIN | READ | ユーザーが インポート・マネージャー タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.LINKSTASK |
IZUADMIN | READ | ユーザーが リンク タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.LOGGER |
IZUADMIN | READ | ユーザーが、 z/OSMF ログの動作と内容を制御する設定を管理できるようにします。 この機能は、サービス状態でのみ使用されます。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.UI_LOG _MANAGEMENT |
IZUADMIN | READ | ユーザーが z/OSMF ロギングのユーザー・インターフェース (UI) 部分の動作を制御する設定を管理できるようにします。 この機能は、サービス状態でのみ使用されます。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ADMINTASKS.USAGESTATISTICS |
IZUADMIN | READ | ユーザーが z/OSMFに関する使用統計を収集できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.linkName |
IZUADMIN IZUUSER | READ | ユーザーがインストール・システムで指定されるリンクを表示できるようにします。 表の注 3 と 4 を参照してください。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.SHOPZSERIES |
IZUADMIN
IZUUSER |
READ | ユーザーが ShopzSeries Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.SUPPORT_FOR_Z_OS |
IZUADMIN IZUUSER | READ | ユーザーが Support for z/OS Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.SYSTEM_Z_REDBOOKS |
IZUADMIN
IZUUSER |
READ | ユーザーが IBM Redbooks® Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.WSC_FLASHES _TECHDOCS |
IZUADMIN
IZUUSER |
READ | ユーザーが WSC Flashes および Techdocs Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.Z_OS_BASICS _INFORMATION_CENTER |
IZUADMIN
IZUUSER |
READ | ユーザーが z/OS Basic Skills Information Center Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.Z_OS_HOME_PAGE |
IZUADMIN
IZUUSER |
READ | ユーザーが z/OS ホーム・ページ Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.LINK.Z_OS_INTERNET_LIBRARY |
IZUADMIN
IZUUSER |
READ | ユーザーが z/OS ライブラリー Web サイトのリンクを表示できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.NOTIFICATION.MODIFY |
IZUADMIN IZUUSER | READ | ユーザーが通知を構成できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.NOTIFICATION.SETTINGS |
IZUADMIN IZUUSER | READ | ユーザーが z/OSMFからの通知を受信するためのメール・アカウントを定義できるようにします。 このアクションは、 z/OSMFの 通知設定 タスクによって実行されます。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.NOTIFICATION.SETTINGS.ADMIN |
IZUADMIN | READ | ユーザーに次のタスクへz/OSMFの 通知設定アクセスを許可します。 |
 ZMFAPLA |
<SAF-prefix>.ZOSMF.SEND.IBM.FEEDBACK |
IZUADMIN
IZUUSER |
READ |
z/OSMFデスクトップのIBMフィードバックの提供オプションを使って、ユーザーがフィードバック・データをIBMに送信できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SETTINGS.FTP_SERVERS |
IZUADMIN
IZUUSER |
READ | ユーザーが FTP サーバー タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SETTINGS.FTP_SERVERS.VIEW |
IZUADMIN
IZUUSER |
READ | ユーザーが FTP サーバー タスク ビュー 機能にアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SETTINGS.FTP_SERVERS.MODIFY |
IZUADMIN | READ | ユーザーによるz/OSMF タスクの設定 タスク変更 機能へのアクセスを許可します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SETTINGS.SYSTEMS |
IZUADMIN IZUUSER | READ | ユーザーが システム タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SETTINGS.SYSTEMS.VIEW |
IZUADMIN
IZUUSER |
READ | ユーザーが システム タスク ビュー 機能にアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SETTINGS.SYSTEMS.MODIFY |
IZUADMIN | READ | ユーザーによるz/OSMF タスクの設定 タスク変更 機能へのアクセスを許可します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.VARIABLES.SYSTEM.ADMIN |
IZUADMIN | READ | ユーザーが「Systems」タスク内のシステム変数にアクセスできます。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.WORKFLOW.ADMIN |
IZUADMIN | READ | ユーザーが、割り当てられているワークフロー所有者を変更できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.WORKFLOW.WORKFLOWS |
IZUADMIN
IZUSECAD IZUUSER |
READ | ユーザーが z/OSMF ワークフロー タスクにアクセスできるようにします。 表の注 5 を参照してください。 |
- 機能、タスク、およびリンクに対するユーザー許可は 、System Authorization Facility (SAF) プロファイル・プレフィックスによって制御されます。 デフォルトで、SAF プレフィックスは IZUDFLT です。
- ユーザーが z/OSMFで作業するには、少なくともプロファイル
<SAF-prefix>.ZOSMFへのREADアクセスが必要です。 この許可なしでは、ユーザーは認証されたゲストとして扱われます。 つまり、ユーザーは z/OSMF にログインして「ようこそ」ページを表示できますが、 z/OSMFz/OSMF の機能とタスクにアクセスできません。 - デフォルトのz / OSMF構成では、すべてのユーザーに、ワイルドカード・プロファイルを介したすべてのリンクへの権限が付与されます:
<SAF-prefix>.ZOSMF.LINK.* * - z/OSMFに追加するリンクには、SAF リソース名の接頭部を指定しなければなりません。 リンクに固有のリソース名を指定して、例えば、リンク名をリソース名の一部として組み込むことによって、特定のリンクへのアクセスを制御できます。 例えば、
IZUDFLT.ZOSMF.LINK.mylinkです。z/OSMFへのリンクの定義については、 z/OSMF へのリンクの追加を参照してください。
- ワークフロータスクにアクセスできるユーザーは、ワークフロータスクに表示されているすべてのワークフローにアクセスできます。 デフォルトでは、 z/OSMF 定義のセキュリティー・グループ IZUADMIN、 IZUSECAD および IZUUSER には、 ワークフロー タスクへのアクセス権限があります。
- インストールでz/OS統合暗号化サービス機能(ICSF)を使用したハードウェア暗号化を使用する場合、CSFRNGL、CSFDSV、CSFOWH、CSFIQFなどのサービスは、 RACFのような外部セキュリティー・マネージャーに確立されたプロファイルに保護される可能性があることに注意してください。 一部のケースでは、z/OSMF がこれらのサービスを使用します。このため、z/OSMF 開始タスクのユーザー ID に、これらのプロファイルに対する許可を与える必要があります。 詳しくは、ハードウェア暗号化に対する リソース許可を参照してください。
- すべての z/OSMF ユーザーに対して、ご使用のシステム環境のセキュリティー・データベースで TSO セグメントが定義されている必要があります。 TSO セグメントを使わないと、一部の z/OSMF 機能が機能しなくなります。
ハードウェア圧縮に対するリソース許可
ご使用のシステムでIBM zEnterprise® Data Compression(zEDC)を使用する場合、z/OSMFサーバーには、FACILITYクラスのFPZ.ACCELERATOR.COMPRESSIONリソースへのREADアクセスが必要です。 そうでない場合、この許可が設定されていないと、z/OSMF サーバーは zEDC を使用せずに実行されます。 システムは、以下のようなエラー・メッセージを発行します。
XAT1 IZUSVRU IZUSVR1 RACF ACCESS violation for IZUSVRU:
(READ,NONE) on FACILITY FPZ.ACCELERATOR.COMPRESSION このメッセージは無視して構いません。
表 6 は、どのアクセス権を z/OSMF サーバーのユーザー ID に付与する必要があるかを示しています。 IZUSEC ジョブ内のコメント化されたセクションには、許可を作成するコマンドが含まれています。 ジョブが実行されるとコマンドが発行されるようにするには、これらのセクションのコメントを外してください。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| FACILITY | FPZ.ACCELERATOR.COMPRESSION | IZUSVR | READ | IBM zEnterprise Data Compression (zEDC) を使用して z/OSMF サーバーを実行できるようにします。 |
ハードウェア暗号化に対する リソース許可
インストールで z/OS統合暗号化サービス機能(ICSF)付きハードウェア暗号化を使う場合、z/OSMFサーバーはICSF呼び出し可能サービスへのアクセスを必要とします。表 7z/OSMFサーバーのユーザーIDに付与する必要のある許可を示します。 IZUSEC ジョブ内のコメント化されたセクションには、許可を作成するコマンドが含まれています。 ジョブが実行されるとコマンドが発行されるようにするには、これらのセクションのコメントを外してください。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| CSFSERV | CSFIQF | IZUSVR | READ | ICSF 照会機能の呼び出し可能サービス |
| CSFSERV | CSFENC | IZUSVR | READ | 暗号化呼び出し可能サービス |
| CSFSERV | CSFCVE | IZUSVR | READ | 暗号変数の暗号化呼び出し可能サービス |
| CSFSERV | CSFDEC | IZUSVR | READ | 暗号解読呼び出し可能サービス |
| CSFSERV | CSFSAE | IZUSVR | READ | 対称アルゴリズムの暗号化呼び出し可能サービス |
| CSFSERV | CSFSAD | IZUSVR | READ | 対称アルゴリズムの暗号解読呼び出し可能サービス |
| CSFSERV | CSFOWH | IZUSVR | READ | 片方向ハッシュ生成の呼び出し可能サービス |
| CSFSERV | CSFRNG | IZUSVR | READ | 乱数生成呼び出し可能サービス |
| CSFSERV | CSFRNGL | IZUSVR | READ | 乱数生成ロング呼び出し可能サービス。 |
| CSFSERV | CSFPKG | IZUSVR | READ | PKA 鍵生成呼び出し可能サービス |
| CSFSERV | CSFDSG | IZUSVR | READ | デジタル署名生成サービス |
| CSFSERV | CSFDSV | IZUSVR | READ | デジタル署名検証呼び出し可能サービス |
| CSFSERV | CSFPKT | IZUSVR | READ | PKA 鍵生成呼び出し可能サービス |
| CSFSERV | CSFRKL | IZUSVR | READ | 保管鍵リスト呼び出し可能サービス |
| CSFSERV | CSFPKX | IZUSVR | READ | PKA 公開鍵抽出呼び出し可能サービス |
| CSFSERV | CSFPKE | IZUSVR | READ | PKA 暗号化呼び出し可能サービス |
| CSFSERV | CSFPKD | IZUSVR | READ | PKA 暗号化解除呼び出し可能サービス |
| CSFSERV | CSFPKI | IZUSVR | READ | PKA 鍵インポート呼び出し可能サービス |
| CSFSERV | CSFCKM | IZUSVR | READ | 複数平文鍵インポート呼び出し可能サービス |
| CSFSERV | CSFKGN | IZUSVR | READ | 複数平文鍵インポート呼び出し可能サービス |
| CSFSERV | CSFEDH | IZUSVR | READ | ECC Diffie-Hellman 呼び出し可能サービス |
共通情報モデルのリソース許可
ご使用の z/OSMF 構成に、ホスト z/OS システム上の共通情報モデル (CIM) サーバーを使用するタスクが含まれている場合は、プラグインのユーザーには、CIM サーバー・リソースへの適切なレベルのアクセス権限が必要です。
これらの許可は、以下のどのオプションのサービスまたはコア機能を使用するにも必要となります。
- キャパシティー・プロビジョニング
- インシデント・ログ
- ワークロード管理
- z/OSMFの非同期ジョブ通知機能。これは、非同期ジョブ通知用のシステムの構成に説明されています。
CIM には、これらの許可を作成するのに役立つ CFZSEC ジョブが組み込まれています。 「z/OS Common Information Model User's Guide」の CIM サーバーのクイック・セットアップおよび検査に関するトピックを参照してください。 IBM は SYS1.SAMPLIB で CFZSEC ジョブを提供します。 インストールでCFZSECジョブの実行予定がない場合、z/OSMFワークロード管理ユーザー、サービス構成時のz/OSMFサーバーユーザーIDが、WBEMクラスのCIMSERVプロファイルへのUPDATEアクセス権を持つように確保してください。 必要であれば、WBEM クラスをリフレッシュします。
CIM 許可要件については、 ご使用のシステム用の CIM サーバーの構成を参照してください。
表 8 は、オプションのサービスに必要な CIM セキュリティー・グループをリストしています。
| Group | 目的 | デフォルト・グループ ID (GID) | 作成元 |
|---|---|---|---|
| CFZADMGP | CIM 管理者役割のセキュリティー・グループ。 | 9502 | SYS1.SAMPLIB のメンバー CFZSEC。 |
| CFZUSRGP | CIM ユーザー役割のセキュリティー・グループ。 このグループは、CIM を使用して管理されるすべてのリソースへのアクセス権限をユーザーに与えます。 どの程度きめ細かく CIM へのユーザー・アクセスを制御するかによっては、ご使用のシステムで、CIM を使用して管理されるリソースのサブセットのみへのアクセスを許可する追加グループが作成されている場合があります。 | 9503 | SYS1.SAMPLIB のメンバー CFZSEC。 |
セキュリティー管理者はオプション・サービスの選択に基づき、IZUAUTH ジョブを使用して CIM グループ の名前を指定することができます。 これらの値には、CIM 管理者グループの名前 (デフォルトで CFZADMGP) および CIM ユーザー・グループの名前 (デフォルトで CFZUSRGP) が含まれます。 IZUAUTH ジョブは、ユーザーをグループに接続するためのコマンドを含んでいるため、これらのグループが存在することが必要です。
キャパシティー・プロビジョニング・マネージャーのリソース許可
z/OSMF 構成に キャパシティー・プロビジョニング サービスが含まれる場合、サービスのユーザーが、プロビジョニング・マネージャーによってアクセスされるすべてのリソースに対して定義され、許可される必要があります。 IBM は SYS1.SAMPLIB に CPOSEC1 および CPOSEC2 ジョブを用意しているので、キャパシティー・プロビジョニング・ドメインのセットアップ時にこれらの許可を作成するのに役立ちます。 詳しくは、「z/OS MVS Capacity Provisioning User's Guide」でキャパシティー・プロビジョニング・ドメインのセットアップに関するトピックを参照してください。
表 9 は、プロビジョニング・マネージャーのデフォルト値をリストしています。 ご使用のシステムで、これらの設定に別の値を選択している可能性があります。
| プロビジョニング・マネージャーの設定 | デフォルト値 |
|---|---|
| ドメイン・ネーム | DOMAIN1 |
| 開始タスク・プロシージャー名 | CPOSERV |
| ランタイム・データ・セット用の高位修飾子 | CPO |
| プロビジョニング・マネージャー・ユーザー | CPOSRV |
セキュリティー管理者は、IZUCPSEC ジョブを使用して、セキュリティー・グループの名前を指定することができます。このセキュリティー・グループは、システム上のプロビジョニング・マネージャーに対する許可をユーザーに与えるために、ご使用のシステムで作成されたものです。 IZUAUTH ジョブは、ユーザーをグループに接続するためのコマンドを含んでいるため、これらのグループが存在することが必要です。
表 10 には、 キャパシティー・プロビジョニング サービスに必要なセキュリティー・グループがリストされています。
| Group | 目的 | デフォルト・グループ ID (GID) | 作成元 |
|---|---|---|---|
| CPOCTRL | キャパシティー・プロビジョニングタスク編集機能のユーザーのセキュリティグループ。 | なし。ご使用のシステムでこのグループの GID を指定する必要があります。 | SYS1.SAMPLIB のメンバー CPOSEC1。 |
| CPOQUERY | キャパシティー・プロビジョニング タスク ビュー 機能のユーザーに対するセキュリティー・グループ。 | なし。ご使用のシステムでこのグループの GID を指定する必要があります。 | SYS1.SAMPLIB のメンバー CPOSEC1。 |
共通イベント・アダプター (CEA) のリソース許可
ご使用の z/OSMF 構成に、z/OS ホスト・システム上の共通イベント・アダプター (CEA) コンポーネントを使用するタスクが含まれている場合は、サービスのユーザーには、CEA リソースへの適切なレベルのアクセス権限が必要です。 IBM は SYS1.SAMPLIB に CEASEC ジョブを用意しているので、これらの許可の作成に役立ちます。
以下の 1 つ以上の z/OSMF タスクを使用する計画の場合、これらの許可が必要です。
- インシデント・ログ
- ISPF
- シスプレックス管理
CEA には、異なる部分の処理を保護するために、SERVAUTH クラスのセキュリティー・プロファイルがあります。 IZUILSECジョブを実行するときは、z/OSMFグループにCEAリソースへの許可を与えます。
詳しくは、 z/OS インストール計画のCEA のカスタマイズに関するトピックを参照してください。
z/OS コンソール REST インターフェースのリソース認証
z/OSMF では、以下の機能を使用するユーザーには、z/OS コンソール・サービスへのアクセス権が必要です。
- z/OS コンソール REST インターフェース
- z/OS オペレーター・コンソール
- IBM Cloud z/OSのプロビジョニングと管理。オペレーター・コマンドを発行するテンプレートを使う場合、非送信請求コマンド応答をチェックする場合。
z/OS コンソール REST インターフェースのユーザーは、コマンドを発行し、コンソール・メッセージを受信するために、拡張 MCS (EMCS) コンソールにアクセスしなければなりません。 具体的には、ユーザーには以下の許可が必要です。
- OPERCMDS クラスの MVS.MCSOPER.consolename リソースに対する READ アクセス権限。ここで、consolename は、コマンドの発行に使用される EMCS コンソールの名前です。
- TSOAUTH クラスの CONSOLE リソースに対する READ アクセス権限。
- EJBROLEクラスの
<SAF_PREFIX>.IzuManagementFacilityRestConsoles.izuUsersリソースへのREADアクセス。 または、 EJBROLE クラス内の<SAF_PREFIX>.*.izuUsersプロファイルに対する READ アクセス権限を設定します。
z/OSMF は、TSO/E アドレス・スペース・サービスを使用して、TSO アドレス・スペースを EMCS コンソールのホストとして作成します。 したがって、 z/OS コンソール REST インターフェース のユーザーには、以下の権限が必要です。
- ACCTNUM クラスのリソース account に対する READ アクセス権限。ここで、account は、parmlib メンバー IZUPRMxx の COMMON_TSO ACCT オプションで指定された値です。
- SERVAUTH クラスのリソース CEA.CEATSO.TSOREQUEST に対する READ アクセス権限。
- TSOPROC クラスのリソース proc に対する READ アクセス権限。ここで、proc は、parmlib メンバー IZUPRMxx の COMMON_TSO PROC オプションで指定された値です。
また、z/OSMF 開始タスク・ユーザー ID (デフォルトでは IZUSVR) に、SERVAUTH クラスのリソース CEA.CEATSO.TSOREQUEST に対する READ アクセス権限が必要です。
parmlib メンバー IZUPRMxx で適切なパラメーターを設定することで、TSO アドレス・スペースの作成に使用するパラメーターを制御できます。 以下に例を示します。
COMMON_TSO ACCT(IZUACCT) REGION(50000) PROC(IZUFPROC)z/OS コンソール REST インターフェースを使用する前に、設定が構成されていることを確認してください。 そうしないと、デフォルト値 (ここに示されている値) が使用されます。
z/OSMF によって開始される EMCS コンソールの属性は、ユーザー・プロファイル <consolename>のOPERPARM 設定値に制御されます。 したがって、例えば、ユーザーが z/OS オペレーター・コンソールに console1という名前のコンソールを作成する必要がある場合は、 console1 という名前のユーザー・プロファイルが存在し、該当する設定を持つ OPERPARM セグメントを含めなければなりません。
ほとんどのIBM Cloud z/OSのプロビジョニングと管理テンプレートは、defcn Console REST APIエンドポイントを使用します。これは、事前定義されたコンソール名を想定しています。 規則として、userid に「CN」を付加したものが使用されます。ここで、userid の値は、7 文字目以降は切り捨てられます。 例えば、ユーザー ID が IBMUSER の場合、defcn の値は IBMUSECN になります。
通常、z/OSMF は、ユーザーの OPERPARM セグメントから取得した以下のコンソール属性を使用します。
- AUTH
- コンソールのコマンド権限を指定します。
- ROUTCODE
- コンソールの宛先コードを指定します。これは、コンソールで受け取れるメッセージに影響します。 デフォルト値は NONE です。この場合、コンソールはいずれのメッセージも受け取りません。
- MSCOPE
- シスプレックス内でのシステム・メッセージの適用範囲を指定します。
これらの属性の設定について詳しくは、SAMPLIB ジョブ IZUGCSEC および IZUPRSEC のコメント化されたセクションを参照してください。 ユーザー用の OPERPARM セグメントの作成については、「z/OS MVS 計画: 操作」を参照してください。
ローカル・システム (z/OSMF がインストールされているシステム) に加えて、ユーザーは、シスプレックス内の他のシステムでもシステム・コマンドを入力できます。 そのためには、ユーザーが OPERCMDS クラスのリソース MVS.ROUTE.CMD.<sysname>に対する READ アクセス権限を必要とします。
ユーザーは、OPERLOG または SYSLOG からメッセージを取得できます。 そのためには、ユーザーに以下の権限が必要です。
- OPERLOG からメッセージを取得するには、ユーザーに LOGSTRM クラスのリソース SYSPLEX.OPERLOG への READ アクセス権限が必要です。
- SYSLOG からメッセージを取得するには、ユーザーに JESSPOOL クラスのリソース
node-id.+MASTER+.SYSLOG.*.*への READ アクセス権限が必要です。ここで、node-id は JES2 または JES3 サブシステムの NJE ノード ID です。
表 11 は、 z/OS コンソール REST インターフェースのユーザーの安全要件を要約しています。 IBM は、SYS1.SAMPLIB でジョブ IZUGCSEC を提供し、ユーザーがこれらの更新を実行するのを支援します。 このジョブには、必要なセキュリティー許可を作成するための RACF コマンドが含まれています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| N/A | 適切な OPERPARM セグメントを持つユーザー・プロファイル <consolename> 。 | N/A | N/A | z/OS オペレーター・コンソール・タスクによって開始されるEMCSコンソールの属性は、ユーザー・プロファイル<consolename>のOPERPARM設定に制御されます。 OPERPARMの設定により、EMCSコンソールが受信するメッセージを制限したり、EMCSコンソールの発行コマンドを制限できます。 |
| ACCTNUM | IZUACCT | z/OS コンソール・サービス REST インターフェースのユーザー | READ | ユーザーが z/OS コンソール・サービス用のプロシージャーのアカウント番号にアクセスできるようにします。 |
| EJBROLE | <SAF-prefix> .IzuManagementFacilityRestConsoles .izuUsers |
以下のユーザー:
|
READ | ユーザーに対して、z/OS コンソール・サービスを使用してオペレーター・コマンドを発行することを許可します。 |
| EJBROLE | <SAF-prefix> .IzuManagementFacilityTsoServices .izuUsers | IZUADMIN | READ | オペレーター・コンソール・タスクのユーザーに対して、シスプレックス内の他のシステム上のアドレス・スペースの開始または再接続を許可します。 |
| JESSPOOL | node-id.+MASTER+ .SYSLOG.*.* | z/OS オペレーター・コンソール・タスクのユーザー | READ | ユーザーに対して、z/OS オペレーター・コンソール・タスクを使用して SYSLOG からメッセージを取得することを許可します。 node-id は、JES2 または JES3 サブシステムの NJE ノード ID です。 |
| LOGSTRM | SYSPLEX.OPERLOG | z/OS オペレーター・コンソール・タスクのユーザー | READ | ユーザーに対して、z/OS オペレーター・コンソール・タスクを使用して OPERLOG からメッセージを取得することを許可します。 |
| OPERCMDS | MVS.MCSOPER.consolename | z/OS コンソール・サービス REST インターフェースのユーザー | READ | ユーザーが、指定された拡張 MCS コンソールを操作できるようにします。 |
| OPERCMDS | MVS.ROUTE.CMD.<sysname> | z/OS オペレーター・コンソール・タスクのユーザー | READ | ユーザーに対して、ROUTE コマンドを使用してシスプレックス内の別のシステム (sysname で指定) にコマンドを送信することを許可します。 許可しない場合、ユーザーが行えるのは、ローカル・システム (z/OSMF がインストールされているシステム) でのコマンドの入力に制限されます。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST | z/OS コンソール・サービス REST インターフェースのユーザー | READ | ユーザーが CEA TSO/E アドレス・スペース・サービスにアクセスできるように します。 この設定により、z/OS システム上の HTTP クライアント・アプリケーションが TSO/E アドレス・スペース の起動と管理を行えるようにします。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST | IZUSVR | READ | z/OSMF サーバーが 、CEA TSO/E アドレス・スペース・サービスにアクセスできるようにします。 この設定により、z/OSMF サーバーはTSO/E アドレス・スペース・サービスを開始、管理できます。 |
| TSOAUTH | CONSOLE | z/OS コンソール・サービス REST インターフェースのユーザー | READ | ユーザーが拡張 MCS コンソールを活動化するために TSO/E CONSOLE コマンドを発行できるようにします。 |
| TSOPROC | IZUFPROC | IZUADMIN IZUUSER | READ | ユーザーが、z/OS コンソール・サービス用のプロシージャーにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.CONSOLES. ZOSOPER | z/OS オペレーター・コンソール・タスクのユーザー | READ | ユーザーに対して、z/OSMF デスクトップ・インターフェースでの z/OS オペレーター・コンソール・タスクの表示およびアクセスを許可します。 |
z/OS データ・セットおよびファイル REST インターフェースのリソース認証
z/OS データ・セットおよびファイル REST インターフェース では、 z/OS システムのローカル・リソースへのアクセス権限が必要です。表 12 は、z/OS データ・セットおよびファイル REST インターフェースのセキュリティー要件を説明しています。
z/OS データ・セットおよびファイル REST インターフェース サービスについては、 IBM z/OS Management Facility Programming Guideを参照してください。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| ACCTNUM | IZUACCT | IZUADMIN IZUUSER | READ | 呼び出し元が、z/OS データ・セットおよびファイル REST インターフェース サービスのプロシージャーに使われるアカウント番号にアクセスできるようにします。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityRestFiles.izuUsers |
IZUADMIN IZUUSER | READ | 呼び出し側が z/OS データ・セットとファイル REST インターフェースに接続できるようにします。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST | IZUADMIN IZUUSER | READ | 呼び出し元が CEA TSO/E アドレス・スペース・サービスにアクセスできるように します。 この設定により、z/OS システム上の HTTP クライアント・アプリケーションが TSO/E アドレス・スペース の起動と管理を行えるようにします。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST | IZUSVR | READ | z/OSMF サーバーが 、CEA TSO/E アドレス・スペース・サービスにアクセスできるようにします。 この設定により、z/OSMF サーバーはTSO/E アドレス・スペース・サービスを開始、管理できます。 |
| TSOPROC | IZUFPROC | IZUADMIN IZUUSER | READ | 呼び出し元が、 z/OS データ・セットおよびファイル REST インターフェース サービスのプロシージャーにアクセスできるようにします。 |
z/OS ジョブ REST インターフェースのリソース認証
z/OS ジョブ REST インターフェース では、 z/OS システムのローカル・リソースへのアクセス権限が必要です。表 13 は、z/OS ジョブ REST インターフェースのセキュリティー要件を説明しています。 これらの許可により、CIM サーバーは共通イベント・アダプター (CEA) コンポーネントと対話することができます。 CIM には、これらの許可を作成するのに役立つ CFZSEC ジョブが組み込まれています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| SERVAUTH | CEA.CONNECT | CFZSRV | READ | ご使用のシステムで z/OS ジョブ REST インターフェースを使う場合、共通イベント・アダプター (CEA) コンポーネントとの対話にこの設定が必要です。 |
| SERVAUTH | CEA.SUBSCRIBE.* | CFZSRV | READ | ご使用のシステムで z/OS ジョブ REST インターフェースを使用する場合、この設定により、z/OS システムの HTTP クライアント・アプリケーションは、非同期ジョブ通知を受信できます |
| SERVAUTH | CEA.SUBSCRIBE.ENF_0078* | CFZSRV | READ | ご使用のシステムで z/OS ジョブ REST インターフェースを使用する場合、この設定により、z/OS システムの HTTP クライアント・アプリケーションは、非同期ジョブ通知を受信できます |
z/OS ジョブ REST インターフェースサービスを使ってジョブ変更操作を実行するプログラムの場合、呼び出し元のユーザーIDは、表 14に示すように、JESJOBSクラスの適切なリソースに対して許可されている必要があります。
| 操作 | JESJOBS リソース | 必要なアクセス権限 |
|---|---|---|
| ジョブの保持 | HOLD.nodename.userid.jobname | UPDATE |
| ジョブのリリース | RELEASE.nodename.userid.jobname | UPDATE |
| ジョブ・クラスの変更 | MODIFY.nodename.userid.jobname | UPDATE |
| ジョブの取り消し | CANCEL.nodename.userid.jobname | ALTER |
| ジョブの削除 (ジョブを取り消し、その出力を消去) | CANCEL.nodename.userid.jobname | ALTER |
z/OS ジョブ REST インターフェース サービスについては、 IBM z/OS Management Facility Programming Guideを参照してください。
非同期で実行する場合、z/OS ジョブ REST インターフェースサービスでは、呼び出し元のユーザーIDがCIMサーバーに対して許可され、JES2-JES3JobsCIMプロバイダーに対して許可される必要もあります。 CIM は、セキュリティー許可およびファイル・システムのカスタマイズを含んだ CIM サーバーの構成で役立つジョブ (CFZSEC および CFZRCUST) を含んでいます。詳しくは、 z/OS Common Information Model User's GuideのCIM サーバーのクイック設定と検証に関するトピックを参照してください。 IBM は SYS1.SAMPLIB で CFZSEC ジョブを提供します。
キャパシティー・プロビジョニング サービスのリソース認証
キャパシティー・プロビジョニング サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。表 15 は、キャパシティー・プロビジョニング サービスのセキュリティー要件について説明しています。 IZUCPSEC ジョブには、これらの許可を作成するためのサンプル RACF コマンド
が入っています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuManagementFacilityCapacityProvisioning.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが キャパシティー・プロビジョニング タスクに接続できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.CAPACITY_PROVISIONING.CAPACITY_ PROVISIONING.EDIT |
IZUADMIN | READ | ユーザーが キャパシティー・プロビジョニング タスク 編集 機能を表示、アクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.CAPACITY_PROVISIONING.CAPACITY_ PROVISIONING.EDIT.DOMAIN |
IZUADMIN | READ | ユーザーが キャパシティー・プロビジョニングタスク編集機能を使って容量プロビジョニングドメインを編集できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.CAPACITY_PROVISIONING.CAPACITY_ PROVISIONING.EDIT.POLICY |
IZUADMIN | READ | ユーザーが キャパシティー・プロビジョニング タスク 編集 機能を使ってキャパシティー・プロビジョニング・ポリシーを編集できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.CAPACITY_PROVISIONING.CAPACITY_ PROVISIONING.VIEW |
IZUADMIN
IZUUSER |
READ | ユーザーが キャパシティー・プロビジョニング タスク ビュー 機能にアクセスできるようにします。 |
次のようにその他の許可が必要です。
- このキャパシティー・プロビジョニングサービスにはCIMサーバーが必要です。 したがって、共通情報モデルのリソース許可に説明されている権限も作成しなければなりません。
- キャパシティー・プロビジョニング サービスのユーザーは、ProvisioningManagerによってアクセスされるリソースに対して承認される必要があります。 IBM は SYS1.SAMPLIB に CPOSEC1 および CPOSEC2 ジョブを用意しているので、これらの許可の作成に役立ちます。 詳しくは、「z/OS MVS Capacity Provisioning User's Guide」でキャパシティー・プロビジョニング・ドメインのセットアップに関するトピックを参照してください。
Network Configuration Assistant サービスのリソース認証
Network Configuration Assistant サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。 表 16 は、Network Configuration Assistant サービスの安全要件について説明しています。 IZUCASEC ジョブには、これらの許可を作成するためのサンプル RACF コマンド
が入っています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuConfigurationAssistant.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが Network Configuration Assistant タスクに接続できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.CONFIGURATION_ ASSISTANT.CONFIGURATION_ASSISTANT |
IZUADMIN
IZUUSER |
READ | ユーザーが Network Configuration Assistant タスクにアクセスできるようにします。 |
インシデント・ログ サービスのリソース認証
インシデント・ログ サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。表 17 は、インシデント・ログ サービスのセキュリティー要件について説明しています。 IZUILSEC ジョブには、これらの許可を作成するためのサンプル RACF コマンド
が入っています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| ALIAS | CEA | N/A | N/A | ご使用のシステムで、マスター・カタログを使用する代わりに、ユーザー・カタログがセットアップされている場合、そのユーザー・カタログに対する CEA 別名の定義が必要な場合があります。 |
| DATASET | CEA.* |
IZUADMIN
IZUUSER |
ALTER | ユーザーが、CEA 高位修飾子 (HLQ) を使用してデータ・セットを作成できるようにします。 |
| DATASET | your_master_catalog |
IZUADMIN
IZUUSER |
UPDATE | ご使用のシステムにマスター・カタログがセットアップされている場合は、マスター・カタログ・データ・セット・クラスに対してユーザーを許可する必要がある可能性があります。 |
| EJBROLE | <SAF-prefix>.IzuManagementFacilityIncidentLog.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが インシデント・ログ タスクに接続できるようにします。 |
| JESSPOOL | node-id.+MASTER+.SYSLOG.*.* | CEA | READ | ご使用のシステムで、診断ログ・スナップショットのソースとしてシステム・ログ (SYSLOG) を使用する場合、CEA ユーザー ID には、JESSPOOL クラスに対する READ アクセス権限が必要です。 この許可により、JES サブシステムは、共通イベント・アダプター (CEA) コンポーネントの代わりに SYSLOG にアクセスできます。 node-id は、JES2 または JES3 サブシステムの NJE ノード ID です。 |
| SERVAUTH | CEA.CEADOCONSOLECMD |
IZUADMIN
IZUUSER |
READ | 呼び出し側プログラムがその機能を達成するためにオペレーター・コマンドを発行できるようにします。 |
| SERVAUTH | CEA.CEADOCMD |
IZUADMIN
IZUUSER |
READ | ユーザーが FTP ジョブを取り消すことができるようにします。 |
| SERVAUTH | CEA.CEAGETPS |
IZUADMIN
IZUUSER |
READ | ユーザーが FTP ジョブに関する情報を取得できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEACHECKSTATUS |
IZUADMIN
IZUUSER |
READ | ユーザーが状況を検査して、インシデント情報を戻すことができるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEADELETEINCIDENT |
IZUADMIN
IZUUSER |
READ | 選択したインシデント (ダンプ、すべての診断スナップショット・ファイル、および対応シスプレックス・ダンプ・ディレクトリー項目を含む) をユーザーが削除できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEAGETINCIDENT |
IZUADMIN
IZUUSER |
READ | 特定のインシデントに関連付けられているデータをユーザーが取得できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEAGETINCIDENTCOLLECTION |
IZUADMIN
IZUUSER |
READ | フィルターに一致するすべてのインシデントのインシデント・データの集合をユーザーが取得できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEAPREPAREINCIDENT |
IZUADMIN
IZUUSER |
READ | ユーザーが FTP 用にデータを準備 (位置指定および圧縮/簡潔) できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEASETINCIDENTINFO |
IZUADMIN
IZUUSER |
READ | インシデントに関連した情報 (「Notes」フィールドなど) をユーザーが設定できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEASETPROBLEMTRACKINGNUMBER |
IZUADMIN
IZUUSER |
READ | 問題 ID (PMR 番号など) または問題管理トラッキング ID をユーザーが設定できるようにします。 |
| SERVAUTH | CEA.CEAPDWB.CEAUNSUPPRESSDUMP |
IZUADMIN
IZUUSER |
READ | DAE により抑止のマークが付けられたダンプをユーザーが取ることを許可します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.INCIDENT_LOG.INCIDENT_LOG |
IZUADMIN
IZUUSER |
READ | ユーザーがインシデント・ログ・タスクにアクセスできるようにします。 |
次のようにその他の許可が必要です。
- このインシデント・ログサービスにはCIMサーバーが必要です。 したがって、共通情報モデルのリソース許可に説明されている権限も作成しなければなりません。
- インシデント・ログ サービスのユーザーは、 z/OSの共通イベント・アダプター (CEA) コンポーネントにアクセスされるリソースに対して許可しなければなりません。 IBM は SYS1.SAMPLIB に CEASEC ジョブを用意しているので、これらの許可の作成に役立ちます。 詳細情報は、共通イベント・アダプター (CEA) のリソース許可を参照。
ISPF サービスのリソース認証
ISPF サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。表 18 は、ISPF サービスのセキュリティー要件について説明しています。 IZUISSEC ジョブには、これらの許可を作成するためのサンプル RACF コマンド
が入っています。
このサービスのユーザーには、z/OS の共通イベント・アダプター (CEA) コンポーネントによってアクセスされるリソースに対する権限も必要であることに注意してください。 IBM は SYS1.SAMPLIB に CEASEC ジョブを用意しているので、これらの許可の作成に役立ちます。 共通イベント・アダプター (CEA) のリソース許可 を参照してください。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuManagementFacilityISPF.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが ISPF タスクに接続できるようにします。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST |
IZUADMIN
IZUUSER |
READ | ユーザーが ISPF タスクを介してユーザーのセッションを管理できるように、 CEATSOREQUEST API にアクセスできるようにします。 |
| SERVAUTH | CEA.CEATSO.TSOREQUEST |
IZUSVR
|
READ | z/OSMF サーバーが CEATSOREQUEST API にアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ISPF.ISPF |
IZUADMIN
IZUUSER |
READ | ユーザーが ISPF タスクにアクセスできるようにします。 |
リソース・モニター サービスのリソース認証
リソース・モニター サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。表 19 は、リソース・モニター サービスのセキュリティー要件について説明しています。 IZURMSEC ジョブには、これらの許可を作成するためのサンプル RACF コマンド
が入っています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuManagementFacilityResourceMonitoring.izuUsers |
IZUADMIN IZUUSER | READ | ユーザーが リソース・モニター タスクとシステム状況 タスクに接続できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.RESOURCE_MONITORING.PERFDESKS |
IZUADMIN IZUUSER | READ | ユーザーが リソース・モニター タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.RESOURCE_MONITORING.OVERVIEW |
IZUADMIN IZUUSER | READ | ユーザーが システム状況 タスクにアクセスできるようにします。 |
ソフトウェア・デプロイメント サービスのリソース認証
ソフトウェア・デプロイメント サービスでは、 z/OS システム上のローカル・リソースへのアクセス権限が必要です。表 20 は、サービスのセキュリティー要件を記述します。IZUDMSECジョブには、これらの許可を作成するためのサンプルRACFコマンドが含まれています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuManagementFacilitySoftwareDeployment.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが ソフトウェア管理 タスクに接続できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SOFTWARE_DEPLOYMENT.SOFTWARE_ MANAGEMENT |
IZUADMIN
IZUUSER |
READ | ユーザーが ソフトウェア管理 タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SOFTWARE_ DEPLOYMENT.DATA.objectType.objectSuffixobjectType および objectSuffixに指定できる値については、「 ソフトウェア管理 タスクのアクセス制御の作成」を参照してください。 |
IZUADMIN
IZUUSER |
CONTROL | ユーザーが ソフトウェア管理 タスク・オブジェクトにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SOFTWARE_DEPLOYMENT.SOFTWARE_ MANAGEMENT.PRODUCT _INFO_FILE.RETRIEVE |
IZUADMIN | READ | ユーザーが ソフトウェア管理 タスク 製品情報ファイルの取得 機能にアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SOFTWARE_DEPLOYMENT.SOFTWARE_ MANAGEMENT.CATEGORIES.MODIFY |
IZUADMIN | READ | ユーザーが ソフトウェア管理 カテゴリーを追加、コピー、変更、削除できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SOFTWARE_DEPLOYMENT.SOFTWARE_ MANAGEMENT.SWUPDATE |
IZUADMIN
IZUUSER |
READ | ユーザーが ソフトウェアの更新 タスクにアクセスできるようにします。 |
| UNIXPRIV |
SUPERUSER.FILESYS.MOUNT |
IZUADMIN
IZUUSER |
UPDATE |
ユーザーに対して、現在マウントされていない UNIX ファイル・システムに存在するワークフロー定義ファイルから、ワークフロー・インスタンスを作成することを許可します。 |
| UNIXPRIV | SUPERUSER.FILESYS.USERMOUNT | IZUADMIN, IZUUSER | READ | ユーザーが、デプロイメント Unzip ジョブとエクスポート・ジョブに作成、使用される一時ワークスペース UNIX ファイル・システム・データ・セットをマウントすることを許可します。 注: 以下に、 SUPERUSER.FILESYS.USERMOUNT (および SUPERUSER.FILESYS.MOUNT) リソースについての情報を表示できます。 https://www.ibm.com/docs/en/zos/2.4.0?topic=security-using-unixpriv-class-profiles
|
| FACILITY |
ステガミン .ADR.COPY.INCATステガティミン . アド・ド・ダンカト
|
IZUADMIN
IZUUSER |
READ |
プログラム ADRDSSUのための COPY コマンドとDUMP コマンドへのユーザー・アクセスを許可します。 COPY コマンドとDUMP コマンドは、 ソフトウェア管理に生成されたデプロイメントとエクスポート JCL に使われます。 注: INCATは、ソースデータセットが現在アクティブなカタログ環境でカタログ化されていない場合にのみ使用されます。 これはありそうもないシナリオです。
表の注 1 を参照してください。 |
- リソースプロファイルが定義されている場合、READアクセスが必要です。 リソース・プロファイルが定義されない場合、すべてのユーザーがそのリソースにアクセスできます。 具体的には、次のとおりです。
- リソースのプロファイルが定義されない場合、ユーザーはそのリソースを使用できます。
- リソースのプロファイルが定義され、ユーザーが少なくともREADアクセス権を持つ場合、ユーザーはそのリソースを使用できます。
- リソースのプロファイルが定義され、そのユーザーが少なくともREADアクセス権を持たない場合、ユーザーはそのリソースを使用できません。
シスプレックス管理サービスのリソース許可
シスプレックス管理 サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。
表 21 は、 シスプレックス管理 サービスの安全要件について説明しています。 IZUSPSEC ジョブには、これらの許可を作成するためのサンプル RACF コマンド
が入っています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuManagementFacilitySysplexManagement.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーがシスプレックス管理タスクに接続できるようにします。 |
| FACILITY |
MVSADMIN.XCF.CFRM |
IZUADMIN |
READ または UPDATE |
ユーザーがCFRMポリシーエディターを使用してCFRMポリシーを編集できるようにします。 ポリシーを変更、維持する必要があるユーザーにUPDATEアクセス権限を割り当てます。 ポリシーを表示できるが、変更しないユーザーには、 READ アクセス権限を割り当てます。 |
| SERVAUTH | CEA.XCF.CDS |
IZUADMIN
IZUUSER |
READ | ユーザーがシスプレックス管理タスクのために結合データ・セットにアクセスできるようにします。 |
| SERVAUTH | CEA.XCF.CF |
IZUADMIN
IZUUSER |
READ | ユーザーがシスプレックス管理タスクのためにカップリング・ファシリティーにアクセスできるようにします。 |
| SERVAUTH | CEA.XCF.FLOW.<sysname> |
IZUADMIN
IZUUSER |
READ | ユーザーがシスプレックス管理タスクのためにリモート・システム上のシスプレックス・リソースにアクセスできるようにします。 sysplex内のシステムの8文字の |
| SERVAUTH | CEA.XCF.STRUCTURE |
IZUADMIN
IZUUSER |
READ | ユーザーがシスプレックス管理タスクのためにカップリング・ファシリティー構造にアクセスできるようにします。 |
| SERVAUTH | CEA.XCF.SYSPLEX |
IZUADMIN
IZUUSER |
READ | ユーザーがシスプレックス管理タスクのためにシスプレックスの一般情報とシステムにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SYSPLEX |
IZUADMIN
IZUUSER |
READ | ユーザーが シスプレックス管理 タスクにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SYSPLEX.LOG |
IZUADMIN または特定の z/OS ユーザー ID。 | READ | ユーザーが シスプレックス管理 タスクを使ってコマンド・ログ・テーブルをクリーンアップし、クリーンアップ設定の指定を許可します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.SYSPLEX.MODIFY |
IZUADMIN | READ | ユーザーが シスプレックス管理 タスクを使ってシスプレックス・リソースを変更できるようにします。 また、この許可により、ユーザーは、 CFRM ポリシー・エディターを使てシスプレックス CFRM 管理ポリシー情報を更新することもできます。 |
ワークロード管理 サービスのリソース認証
ワークロード管理 サービスでは、 z/OS システム上のローカル・リソースへのアクセス権限が必要です。表 22 は、サービスのセキュリティー要件を記述します。IZUWMSEC ジョブには、これらの許可を作成するためのサンプル RACF コマンドが含まれます。
このサービスには CIM サーバーが必要です。したがって、共通情報モデルのリソース許可で説明されている許可を作成することも必要です。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuManagementFacilityWorkloadManagement.izuUsers |
IZUADMIN
IZUUSER |
READ | ユーザーが ワークロード管理 タスクに接続できるようにします。 |
| FACILITY | MVSADMIN.WLM.POLICY | IZUSVR | READ | z/OSMF サーバーが WLM ポリシーにアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.WORKLOAD_MANAGEMENT.WORKLOAD_ MANAGEMENT.ENWRP |
IZUADMIN WLM リソース・プール管理グループ |
READ | z/OS クラウド・プロビジョニングの場合、ユーザーに対して、z/OSMF の WLM リソース・プーリング (WRP) 機能にアクセスすることを許可します。 ユーザーは、WRP 定義を使用して、クラウド情報 (テナント名、ドメイン ID、テンプレート・タイプ、サポートされるサービス・レベル) を WLM エレメント (レポート・クラスおよび分類規則) に関連付けることができます。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.WORKLOAD_MANAGEMENT.WORKLOAD_ MANAGEMENT.VIEW |
IZUADMIN
IZUUSER |
READ | ユーザーが ワークロード管理 ビュー機能にアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.WORKLOAD_MANAGEMENT.WORKLOAD_ MANAGEMENT.MODIFY |
IZUADMIN | READ | ユーザーが ワークロード管理 Modify 機能にアクセスできるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.WORKLOAD_MANAGEMENT.WORKLOAD_ MANAGEMENT.INSTALL |
IZUADMIN | READ | ユーザーにワークロード管理 のインストール機能へのアクセスを許可します。 |
IBM zERT Network Analyzer サービスのリソース認証
IBM zERT Network Analyzer サービスは、機密ネットワーク・セキュリティー情報へのアクセスを提供します このデータの管理を許可されたユーザーのみがIBM zERT Network Analyzerサービスへのアクセスを許可されるべきです。 IZUNASEC ジョブには、グループ IZUZNA を作成するためのサンプル RACF コマンドが含まれます。 IZUZNA グループは、IBM zERT Network Analyzer サービスへのアクセスの制御に使う必要があります。
セキュリティー・チームは、既存のグループ名が優先されるかを確認することができます。 適切である場合は、指定された z/OSMF デフォルト・グループ名の代わりに既存のグループ名を使用できます。 たとえば、ネットワークセキュリティ管理者と連携しているグループがすでに存在した場合があります。 その場合、IBM zERT Network Analyzerサービスへのアクセスを有効にするデフォルトのグループであるIZUZNAの代わりに、そのグループを使用できます。
IBM zERT Network Analyzer サービスでは、z/OS システムのローカル・リソースへのアクセス権限が必要です。表 23 は、IBM zERT Network Analyzer サービスの安全要件について説明しています。 IZUNASEC ジョブには、これらの許可を作成するためのサンプル RACF コマンドが含まれています。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix>.IzuZertNetworkAnalyzer.izuUsers |
IZUZNA
|
READ | ユーザーが IBM zERT Network Analyzer タスクに接続できるようにします。 |
| EJBROLE | <SAF-prefix> .com.ibm.ws.management.security.resource. 管理者 |
IZUSVR | READ | IBM zERT Network Analyzer が、必要な WebSphere Liberty 管理アクションを実行できるようにします。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF |
IZUZNA | READ | ユーザーを z/OSMF ユーザーとして指定します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.ZERT_NETWORK_ANALYZER |
IZUZNA | READ | ユーザーが IBM zERT Network Analyzer タスクにアクセスできるようにします。 |
z/OS 管理サービス・カタログのリソース認証
z/OS管理サービス・カタログ のセキュリティー構成要件については、以下のセクションで説明しています。 これらのセクションでは、定義する必要のあるリソースと、リソースに許可する必要のあるグループについて説明します。 通常、これらの許可は、セキュリティー管理者が作成します。
z/OS管理サービス・カタログ ソフトウェア定義の役割ベースの承認モデルを使用します。 ユーザー IDの役割は、ユーザー ID が製品で何を実行できるかを決定します。
| Role | 推奨グループ | 機能 |
|---|---|---|
| User | IZUUSER |
ユーザーは、 カタログページ、 アクティビティーページ、および 歴史 ページにアクセスできます。 ユーザーは、カタログからサービスを送信したり、アクティビティでキューに入れられたアクティブなサービスの送信を管理したり、履歴で完了と終了したサービスの送信にアクセスしたりできます。 ユーザーは、他のユーザーと管理者からのサービス実行依頼を表示できます。 開始されたがまだサブミットされていないサービス・サブミットは、 マイ・ドラフト に保存され、他のユーザーまたは管理者が見ることができません。 ユーザーは、 設定を使って通知設定を制御できます。 |
| 管理者 | IZUADMIN |
管理者には、管理ページとプラグインのグローバル設定ページへのアクセスを許可する追加の権限があります。 管理者は、既存サービスの管理、新規サービスの作成、新規サービスの カタログ公開の承認を請求できます。 管理者は、プラグインの グローバル設定 を管理し、他のユーザーに作成されたサービス・サブミッションに対してアクションを実行できます。 |
| 公開承認者 | IZUMSPAP |
承認者役割は、カタログでの公開を要求されたサービス承認者として割り当てられるユーザー ID を許可します。 このロールに与えられたユーザーIDは、サービスを公開する要求を確認および承認して、カタログページで使用できるようにすることができる実際のユーザーのIDでなければなりません。 承認者は、グローバル設定の 承認公開 表の管理者に割り当てられます。 承認者は、 管理 ページおよび承認者であるすべてのサービスにアクセスできます。 |
| RunAsUser 手順承認者 | IZUMSRAP |
サービスの基礎となるワークフロー定義ファイルでrunAsUser手順の使用を承認するためにユーザーIDが必要な場合は、ユーザーIDにこの役割が必要です。 このロールに指定されたユーザーIDは、runAsUserステップの使用を確認、承認できる実際のユーザーのIDでなければなりません。 機能 ID またはアプリケーション ID を承認者として使用しないでください。 runAsUser手順とは、ワークフローの実行ユーザーではない可能性のある特定ユーザーIDに実行されるワークフローのことです。 手順実行ユーザー IDは、手順承認ユーザー IDと必ずしも同じではありません。 すべてのrunAsUserステップには、承認するためのユーザーIDが割り当てられています。 カタログにサービスを公開するには、このユーザーIDの承認が必要です。 RunAsUserステップ承認者は、管理ページと、承認者であるすべてのサービスにアクセスできます。 |
| RunAsUser ユーザー ID | IZUMSRAU |
この役割は、ワークフロー定義のrunAsUserステップのrunAsUserとして割り当てられたすべてのユーザーIDに必要です。 runAsUser手順を含むワークフロー定義から新しいサービスを作成するときに、この役割の承認が検査されます。 また、ワークフロータスクがサービス送信に作成されたワークフローインスタンスに対してrunAsUser手順を実行するときにも検査されます。 この役割は、z/OS 管理サービス・カタログへのアクセス権限を付与しません。 |
注: グローバル設定に公開承認が有効になる場合は、少なくとも 1 つの発行承認者が必要です。
| リソース・クラス | リソース名 | アクセス権限が必要な対象者 | 必要なアクセス権限のタイプ | 理由 |
|---|---|---|---|---|
| EJBROLE | <SAF-prefix> .イザManagementFacilityManagementServicesCatalog.izuUsers |
|
READ | ユーザーが管理サービスカタログデスクトップアプリを開くことを許可します。 |
| ZMFAPLA | <SAF-prefix> .ZOSMF.MGMT_SERVICES.MGMT_SERVICES |
|
READ | ユーザーが管理サービスカタログデスクトップアプリを開くことを許可します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.MGMT_SERVICES.ADMIN |
|
READ | 管理者の役割をユーザーに付与します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.MGMT_SERVICES.USER |
|
READ | ユーザーの役割をユーザーに付与します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.MGMT_SERVICES.PUBLISH.APPROVER |
|
READ | 発行承認者の役割をユーザーに付与します。 |
| ZMFAPLA | <SAF-prefix>.ZOSMF.MGMT_SERVICES.RUNASUSER.APPROVER |
|
READ | runAsUser ステップ承認者の役割をユーザーに付与します。 |
| ZMFAPLA | <SAF-prefix>.IZUDFLT.ZOSMF.MGMT_SERVICES.RUNASUSER |
|
READ | サービスに作成されたワークフローインスタンスでrunAsUserユーザーIDとして使用されるユーザーIDに権限を付与します。 |