EMQX Enterprise

日本語

简体中文
English

日本語

简体中文
English

Appearance

お問い合わせ
お問い合わせ

システム

EMQXダッシュボードのシステムメニューでは、ユーザーおよびロール管理、監査ログ、APIキー、ライセンス、SSO、データのバックアップと復元、ホットアップグレード、一般設定などのシステム管理オプションにアクセスできます。

ユーザー

ユーザーページでは、CLI経由で生成されたユーザーを含む、すべてのアクティブなダッシュボードユーザーの概要を確認できます。

新しいユーザーを追加するには、ページ右上の**+ 作成**ボタンをクリックします。ポップアップダイアログが表示され、必要なユーザー情報の入力を求められます。入力後、作成ボタンをクリックしてユーザーアカウントを生成します。ユーザー管理のための編集、パスワード更新、削除などの操作は、アクション列から簡単にアクセスできます。

セキュリティ上の理由から、EMQX 5.0.0以降、ダッシュボードユーザーはREST API認証には使用できません。

ユーザー画面

ロールベースアクセス制御

EMQX 5.3以降、ダッシュボードにEMQX Enterpriseユーザー向けのロールベースアクセス制御(RBAC)機能が導入されました。

RBACにより、組織内のユーザーの役割に基づいて権限を割り当てることができます。この機能は認可管理を簡素化し、アクセス制限によるセキュリティ強化や組織のコンプライアンス向上に寄与し、ダッシュボードの重要なアクセス制御メカニズムとなっています。

現在、ユーザーには以下の2つの事前定義されたロールのいずれかを設定できます。ユーザー作成時にロールドロップダウンから選択可能です。

  • 管理者(Administrator)

    管理者はクライアント管理、システム設定、APIキー、ユーザー管理など、EMQXのすべての機能とリソースを完全に管理できます。

  • 閲覧者(Viewer)

    閲覧者はすべてのEMQXデータおよび設定にアクセスでき、REST APIのすべてのGETリクエストに相当します。ただし、データの作成、変更、削除はできません。

ログインユーザーのスコープ

EMQX 5.10以降、ダッシュボードログインユーザーに対して、ロール内でアクセス可能なAPIの範囲をさらに制限するスコープを割り当てられます。10個のAPIキー用スコープに加え、ダッシュボードユーザーにはブラウザセッション専用の4つの追加スコープがあります。

スコープ必要なロール用途
user_management管理者ダッシュボードユーザーの管理(作成/更新/削除)
sso_management管理者SSOバックエンドおよびSSOユーザー記録の管理
api_key_management管理者APIキーの管理
mfa_managementどのロールでも可自身のMFA管理。管理者は他ユーザーのMFAも管理可能。

このうち、user_managementsso_managementapi_key_managementは管理者ロールが必須で、閲覧者には割り当てられません。例外はmfa_managementで、閲覧者も保有可能ですが、自身のMFA管理のみ許可され、他ユーザーのMFA設定へのアクセスはできません。これは閲覧者アカウントが追加権限なしに認証器の再登録や回復を行えるようにするために有用です。

ユーザー作成・編集時のスコープ欄は任意です。空欄の場合、ロールに基づくデフォルトのスコープセットが割り当てられます。

  • 管理者:上記4つのログイン専用スコープを含むすべてのスコープ。
  • 閲覧者:一般的なAPIキー用スコープすべて。mfa_managementは明示的に割り当てた場合のみ付与。

user_scopes

ロール変更時のスコープ互換性

ユーザーのロールを変更すると、EMQXは現在のスコープが新ロールと互換性があるかを検証します。互換性がない場合、HTTP 400でリクエストは拒否されます。解決するには、新ロールに適合するスコープリストを同時に含めてリクエストしてください。

例えば、管理者を閲覧者に降格する際、user_managementsso_managementapi_key_managementを保持していると拒否されます。変更完了には閲覧者に適したスコープのみを含むリストを指定してください。(mfa_managementは管理者専用ではないため拒否されません)

デフォルト管理者の保護

dashboard.default_usernameアカウント(dashboard.default_passwordで設定されたパスワードで作成)は緊急用アカウントです。その他管理者が誤設定またはアクセスを失った場合でもシステム復旧を保証するため、以下の保護が適用されます。

  • ダッシュボードやREST APIから削除できません。削除ボタンは無効化されています。
  • ロールはadministratorから変更できません
  • スコープセットはカスタマイズ不可で、常に完全な管理者スコープを保持します。
  • 説明やパスワードは通常通り編集可能です。

他の管理者は影響を受けず、システム内に最低1名の管理者がいれば削除可能です。

セルフサービスの範囲

すべてのダッシュボードユーザーはスコープに関係なく、以下のセルフサービス操作が許可されています。

  • 自身のパスワード変更。
  • 自身のTOTP/MFAの登録または再登録。MFAの無効化も可能ですが、管理者がユーザーにMFA必須を設定している場合はmfa_managementスコープが必要です。

その他のプロフィール更新(説明、ロール、管理者によるスコープ割り当て)は、操作ユーザーに適切なスコープが必要であり、対象が操作ユーザー自身でも例外はありません。

ネームスペース付きロール

EMQX 6.0以降、ダッシュボードはネームスペース付きロールをサポートしています。この機能により、ロールベースアクセス制御を拡張し、各ユーザーを特定のネームスペース内でのみ操作可能に制限するマルチテナンシーを実現します。

信頼されたデプロイメントのみ対象

ネームスペース付き管理者アクセスは、組織内のチームや事業部門を分離し、誤操作によるクロスチーム設定変更のリスクを低減するための信頼された内部デプロイメント向けです。この機能は強力な分離保証を提供せず、パブリックまたは信頼されていないマルチテナント環境のセキュリティ境界としては不適切です。

委任管理者にネームスペーススコープのリソース管理を許可する場合は、利用可能な場合にrule_engine.ssrfを有効化してルールエンジン管理のアウトバウンドターゲットを検証してください。ランタイムのネットワーク制御にはiptablesnftablesなどのホストレベルのイグレス制御を追加してください。ルールエンジンポリシーとファイアウォールルールでSSRFを軽減するを参照。

TIP

ネームスペースの詳細はネームスペースをご覧ください。

ネームスペース付きロールのユーザー作成

ダッシュボードで新規ユーザーを作成する際、ネームスペースオプションが表示されます。

前提条件

  1. ダッシュボードで管理対象ネームスペース(例:namespace_01)を作成済みであること。ネームスペースの作成を参照してください。
  2. EMQXライセンスおよびクラスターがEMQX 6.0以降で稼働していること。
  1. システム -> ユーザーに移動し、+ 作成をクリックします。
  2. 必須項目を入力します:
    • ユーザー名:ユーザーの一意識別子
    • メモ:任意の説明
    • パスワード:ログイン用パスワード
    • ロール管理者または閲覧者を選択
  3. ネームスペースオプションを有効にし、既存のネームスペース(例:namespace_01)を選択します。
  4. 作成をクリックして完了します。

CLIやAPIでユーザーを作成する場合、ロールは以下の形式で明示的に指定する必要があります。

ns:<NAMESPACE>::<ROLE>

例:

  • ns:namespace_01::administrator
  • ns:namespace_01::viewer

ネームスペース付きユーザーの挙動

  • スコープ付きリソース:ネームスペース付きユーザーは割り当てられたネームスペース内のリソース(コネクター、アクション、ソース、ルールなどのネームスペース対応モジュール)の閲覧・管理のみ可能です。
  • クラスター全体設定:まだネームスペース対応していない設定は読み取り専用で、グローバル管理者のみ変更可能です。
  • デフォルトのランディングページ:ネームスペース付きユーザーは通常通りダッシュボードにログインし、概要ページから開始します。メニュー項目はすべて表示されますが、リソースデータは自動的に割り当てネームスペースにフィルタリングされます。
  • ライセンス管理:ネームスペース付きユーザーはライセンス通知を表示しません。ライセンス管理はシステム管理者の責任です。

ネームスペース内のロール意味

  • 管理者:割り当てられたネームスペース内のリソースに対し、作成・更新・削除・閲覧の完全な権限を持ちます。
  • 閲覧者:割り当てられたネームスペース内のリソースに対し、閲覧のみ(GETリクエスト相当)が可能です。

監査ログ

監査ログページでは、管理者がEMQXクラスター内の重要な運用変更をリアルタイムで監視するための監査ログ設定を行えます。

監査ログ機能の詳細は監査ログをご覧ください。

APIキー

APIキーページでは、HTTP APIへのアクセス用APIキーの作成および管理が可能です。APIキーの作成・管理方法、ロールやスコープの割り当てについてはAPIキーの作成を参照してください。

ライセンス

左側のシステムメニューからライセンスをクリックするとライセンスページにアクセスできます。このページでは、現在のライセンスの基本情報(ライセンス接続クォータ使用状況、EMQXバージョン、顧客情報、発行情報)を確認できます。

ライセンス更新をクリックしてライセンスキーをアップロードします。ライセンス設定セクションでは、ライセンス接続クォータ使用の高水準および低水準の閾値を設定可能です。ライセンスの詳細はEMQX Enterpriseライセンスの利用をご覧ください。

SSO

SSOページでは、管理者がユーザーログイン管理のためにSSO機能を設定できます。SSO機能の詳細はシングルサインオン(SSO)を参照してください。

バックアップと復元

バックアップと復元ページでは、運用データおよび設定ファイルのバックアップ設定が可能です。このページでデータのインポートおよびエクスポート操作を行えます。バックアップと復元機能の詳細はバックアップと復元をご覧ください。

設定

設定にアクセスするには、ダッシュボード右上の歯車アイコンをクリックします。

設定メニューでは、ダッシュボードの言語とテーマをカスタマイズできます。

  • 言語:表示言語を選択します。
  • テーマ:ライトテーマとダークテーマの選択、またはOSのテーマに自動同期を有効化できます。同期を有効にすると、テーマはOS設定に従い、手動選択は無効化されます。

さらに、設定メニューにはルールページのAI SQLジェネレーター機能の有効化・無効化トグルも含まれています。

設定画面