アクセス制御 とは？

アクセス制御は2つのレベルで機能します。認証（アイデンティティの確認、「あなたは誰ですか？」）と認可（権限の確認、「あなたは何をしてよいですか？」）です。認証はパスワード、トークン、証明書などのクレデンシャルでアイデンティティを確立します。認可はそのアイデンティティがポリシー、ロール、または属性に基づいてアクセスできるものを決定します。

アクセス制御モデルは複雑さと柔軟性が異なります。任意アクセス制御（DAC）はリソースオーナーが権限を設定できます。UnixのファイルパーミッションはDACの一例です。強制アクセス制御（MAC）はオーナーの設定を上書きするシステム全体のポリシーを適用し、軍や高セキュリティ環境で使用されます。ロールベースアクセス制御（RBAC）はロールに権限を割り当て、ユーザーはロールメンバーシップを通じて権限を継承します。属性ベースアクセス制御（ABAC）は複数の属性（ユーザー部門、時間帯、リソースの機密性）を評価して動的な認可決定を行います。

効果的なアクセス制御は最小権限の原則に従います。必要最低限のアクセスを、必要最低限の時間だけ付与します。これはサービスアカウント、APIキー、マシン間通信にも適用されます。人間のユーザーだけでなく。過度に寛大なアクセス制御は、最初の侵害後に攻撃者が過剰な権限を悪用してシステムを横断的に移動するため、データ侵害の主要な原因の一つです。

Vaulted における アクセス制御 の使われ方

Vaultedはアイデンティティベースの認証ではなく、暗号的および機械的手段によってアクセス制御を実装しています。シークレットへのアクセスには、URLフラグメントに暗号化キーを含む固有のリンクの所持が必要です。さらなるアクセス制御は、ビュー制限（設定された回数のアクセス後にシークレットが削除）、時間ベースの有効期限（Redisでの TTL自動削除）、および知識要素を追加するオプションのパスフレーズ保護によって適用されます。このモデルは、ユーザーアカウントやアイデンティティシステムなしに強力なアクセス制御を提供します。