システム
EMQX ダッシュボードの システム メニューでは、ユーザーおよびロール管理、監査ログ、APIキー、ライセンス、SSO、データのバックアップとリストア、ホットアップグレード、一般設定などのシステム管理オプションにアクセスできます。
ユーザー
ユーザーページでは、CLIで生成されたユーザーを含む、すべてのアクティブなダッシュボードユーザーの概要を確認できます。
新しいユーザーを追加するには、ページ右上の + 作成 ボタンをクリックします。ポップアップダイアログが表示され、必要なユーザー情報の入力を求められます。入力後、作成 ボタンをクリックしてユーザーアカウントを生成します。ユーザー管理のために、アクション列からユーザーの編集、パスワード更新、ユーザー情報の削除などの操作に簡単にアクセスできます。
セキュリティ上の理由から、EMQX 5.0.0以降、ダッシュボードユーザーはREST API認証には使用できません。
ロールベースアクセス制御
EMQX 5.3 以降、ダッシュボードでは EMQX Enterprise ユーザー向けにロールベースアクセス制御(RBAC)機能が導入されました。
RBAC により、組織内の役割に基づいてユーザーに権限を割り当てることができます。この機能は認可管理を簡素化し、アクセス制限によるセキュリティ強化や組織のコンプライアンス向上に寄与し、ダッシュボードの重要なアクセス制御メカニズムとなっています。
RBACにより、組織内のユーザーの役割に基づいて権限を割り当てることができます。この機能は認可管理を簡素化し、アクセス制限によるセキュリティ強化や組織のコンプライアンス向上に寄与し、ダッシュボードにおける重要なアクセス制御メカニズムとなっています。
現在、ユーザーには以下のいずれかの事前定義されたロールを設定できます。ユーザー作成時にロールのドロップダウンから選択可能です。
Administrator(管理者)
管理者はクライアント管理、システム設定、APIキー、ユーザー管理を含むすべてのEMQX機能とリソースを完全に管理できます。
閲覧者はすべての EMQX データと設定にアクセスでき、REST API のすべての
GETリクエストに対応します。ただし、データの作成、変更、削除はできません。
ネームスペース付きロール
EMQX 6.0 以降、ダッシュボードはネームスペース付きロールをサポートしています。この機能により、ロールベースアクセス制御が拡張され、マルチテナンシーを実現します。各ユーザーは特定のネームスペース内でのみ操作が制限されます。
信頼できるデプロイメントのみ対象
ネームスペース付き管理者アクセスは、組織内のチームや事業部門を分離するなどの信頼できる内部デプロイメント向けであり、誤って他チームの設定を変更するリスクを軽減します。この機能は強固な分離保証を提供せず、パブリックまたは信頼できないマルチテナント環境のセキュリティ境界としては適していません。
委任された管理者にネームスペーススコープのリソース管理を許可する場合は、利用可能な場合に rule_engine.ssrf を有効にしてルールエンジン管理のアウトバウンドターゲットを検証してください。ランタイムのネットワーク制御には、iptables や nftables などのホストレベルのイーグレス制御を追加してください。詳細は ルールエンジンポリシーとファイアウォールルールによる SSRF 緩和 を参照してください。
TIP
ネームスペースの詳細は ネームスペース をご覧ください。
ネームスペース付きロールのユーザー作成
ダッシュボードで新規ユーザーを作成する際に、ネームスペース オプションが表示されます。
前提条件
- ダッシュボードで管理対象ネームスペース(例:
namespace_01)を作成してください。手順は ネームスペースの作成 を参照してください。 - EMQX ライセンスおよびクラスターが EMQX 6.0 以降で稼働していることを確認してください。
- システム -> ユーザー に移動し、+ 作成 をクリックします。
- 必須項目を入力します:
- ユーザー名:ユーザーの一意識別子
- 説明:任意の説明
- パスワード:ユーザーのログインパスワード
- ロール:管理者 または 閲覧者 を選択
- ネームスペース オプションを有効にして、既存のネームスペース(例:
namespace_01)を選択します。 - 作成 をクリックして完了します。
CLI や API でユーザーを作成する場合は、ロールを以下の形式で明示的に指定する必要があります。
ns:<NAMESPACE>::<ROLE>例:
ns:namespace_01::administratorns:namespace_01::viewer
ネームスペース付きユーザーの動作
- スコープ付きリソース:ネームスペース付きユーザーは、割り当てられたネームスペース内のコネクター、アクション、ソース、ルールなどのリソースのみ閲覧・管理できます。
- クラスター全体の設定:まだネームスペース対応していない設定は読み取り専用となり、グローバル管理者のみが変更可能です。
- デフォルトのランディングページ:ネームスペース付きユーザーは通常通りダッシュボードにログインし、概要 ページから開始します。すべてのメニュー項目は表示されますが、リソースデータは自動的に割り当てられたネームスペースにフィルタリングされます。
- ライセンス管理:ネームスペース付きユーザーはライセンス通知を表示しません。ライセンス管理はシステム管理者の責任です。
ネームスペース内のロールの意味
- 管理者:割り当てられたネームスペース内のリソースに対して作成、更新、削除、閲覧のすべての操作が可能です。
- 閲覧者:割り当てられたネームスペース内で読み取り専用アクセス(
GETリクエスト相当)が可能です。
監査ログ
監査ログ ページでは、管理者が EMQX クラスター内の重要な運用変更をリアルタイムで監視するための監査ログ設定を行えます。
監査ログ機能の詳細は 監査ログ をご覧ください。
APIキー
APIキーページでは、HTTP APIにアクセスするためのAPIキーとシークレットキーを生成できます。手順は以下の通りです。
ページ右上の + 作成 ボタンをクリックし、API キー作成ダイアログを表示します。
ダイアログで API キーの詳細情報を設定します。
- 「Expire At」欄を空欄にすると、API キーは期限切れになりません。
- API キーのロールを選択できます(任意)。ロールの詳細は ロールと権限 を参照してください。
確認 ボタンをクリックすると、API キーとシークレットキーが生成され、作成に成功しました ダイアログに表示されます。
注意
シークレットキーは再表示されないため、安全な場所に必ず保存してください。
閉じる ボタンでダイアログを閉じます。
API キーの詳細は、名前 列の名前をクリックして確認できます。アクション 列の 編集 ボタンで有効期限のリセット、ステータス変更、メモ編集が可能です。不要になった API キーは 削除 ボタンで削除できます。
ライセンス
左側の システム メニューから ライセンス をクリックすると、ライセンスページにアクセスできます。このページでは、現在のライセンスの基本情報(ライセンス接続クォータ使用状況、EMQX バージョン、顧客情報、発行情報など)を確認できます。
ライセンス更新 をクリックしてライセンスキーをアップロードします。ライセンス設定 セクションでは、ライセンス接続クォータ使用量の高水位・低水位の閾値を設定できます。ライセンスの詳細は EMQX Enterprise ライセンスの利用 を参照してください。
SSO
SSO ページでは、管理者がユーザーログイン管理のための SSO 機能を設定できます。SSO 機能の詳細は シングルサインオン(SSO) をご覧ください。
バックアップとリストア
バックアップとリストア ページでは、運用データや設定ファイルのバックアップ設定を行えます。このページでデータのインポート・エクスポート操作を実行できます。バックアップとリストア機能の詳細は バックアップとリストア を参照してください。
ホットアップグレード
ホットアップグレードページでは、サービスを停止せずにホットアップグレードパッケージをアップロードしてEMQXをアップグレードできます。アップグレードパッケージの入手についてはEMQXチームにお問い合わせください。
設定
設定にアクセスするには、ダッシュボード右上の歯車アイコンをクリックします。
設定メニューでは、ダッシュボードの言語とテーマをカスタマイズできます。
- 言語:表示言語を選択します。
- テーマ:ライトテーマとダークテーマを選択するか、OSのテーマと自動同期を有効にできます。同期を有効にすると、テーマは OS 設定に従い、手動選択は無効になります。
さらに、設定メニューには ルール ページの AI SQL ジェネレーター 機能の有効化・無効化トグルが含まれています。
