ロールベースアクセス制御 とは？

RBACはユーザーと権限の間に抽象化レイヤーを作ることでアクセス管理を簡素化します。すべてのユーザーとリソースのペアに対する権限マトリックスを管理する代わりに、管理者は職務機能を表すロールを定義し、各ロールに適切な権限を割り当て、ユーザーをロールに割り当てます。従業員が役職を変えた場合、個々の権限を再設定するのではなく、ロールの割り当てを更新することでアクセスが変わります。

RBACモデルはいくつかのコアコンセプトで構成されています。ロール（権限の名前付きコレクション）、権限（特定のリソースに対して特定の操作を実行する承認）、ユーザー（個人またはサービスアカウント）、セッション（アクティブなロール割り当て）です。高度なRBAC実装はロール階層（上位ロールが下位ロールの権限を継承）、職務分離（利益相反を防ぐために特定のロールの組み合わせが禁止）、時間制約（特定の時間帯にのみロールがアクティブ）をサポートします。

RBACは企業ソフトウェア、クラウドプラットフォーム、データベースシステムにおける支配的なアクセス制御モデルです。AWS IAM、Kubernetes RBAC、PostgreSQLのロールはすべてこのモデルのバリエーションを実装しています。主な課題はロールの爆発的な増加です。組織が成長するにつれてロールの数が爆発的に増加し、管理の複雑さが生じます。定期的なアクセスレビューとロールの統合が、RBACを管理可能な状態に保つ上で不可欠です。

Vaulted における ロールベースアクセス制御 の使われ方

Vaultedはユーザーアカウントやパーシステントなアイデンティティなしで動作するためRBACを実装していません。ただし、RBACクレデンシャル（サービスアカウントトークン、IAMロール設定、データベースロールパスワードなど）は組織で最もよく共有される機密データの一部です。Vaultedは、これらのクレデンシャルをオンボーディング、ロール変更、またはインシデント対応時に安全に共有するためのチャネルを提供し、メールのスレッドやチャットログに残り続けないようにします。