RBAC管理#

RBAC（ロールベースアクセス制御）管理では、スーパー管理者がきめ細かい権限を持つロールを定義し、ユーザーに割り当てることができます。RBACを使用すると、Backend.AIシステム全体で特定のユーザーがさまざまなリソースに対して実行できる操作を制御できます。

注記

RBAC管理はスーパー管理者のみが利用でき、Backend.AI Managerバージョン25.4.0以降が必要です。

RBAC管理ページにアクセスするには、サイドバーメニューの管理者設定セクションでRBAC管理をクリックします。

ロール一覧#

ロール一覧ページでは、すべてのロールがテーブル形式で表示されます。ページ上部のコントロールを使用して、ロールのフィルタリング、検索、ソートができます。

ステータスフィルター: アクティブと非アクティブのロールを切り替えるセグメントコントロールです。デフォルトではアクティブが選択されています。
名前検索: 名前でロールを検索したり、ソース（システムまたはカスタム）でフィルタリングできるプロパティフィルターです。
ロールを作成: 新しいカスタムロールを作成するボタンです。

テーブルには以下の列が表示されます:

ロール名: ロールの名前です。名前をクリックするとロール詳細パネルが開きます。
説明: ロールの目的に関する簡単な説明です。
スコープタイプ: ロールに最初に割り当てられたスコープのタイプです。ロールに複数のスコープが割り当てられている場合は +N 表示が一緒に表示されます。
スコープID: ロールに最初に割り当てられたスコープの生IDです。複数のスコープが割り当てられている場合は +N 表示が一緒に表示されます。
ソース: ロールがシステム（事前定義）かカスタム（ユーザー作成）かを示します。
作成日時: ロールが作成された日時です。
更新日時: ロールが最後に変更された日時です。

ロール名、作成日時、更新日時の列ヘッダーをクリックしてテーブルをソートできます。

システムロールとカスタムロール#

ロールは2つのソースタイプに分類されます:

システム: 自動生成されるロールです。名前や説明は編集できませんが、ユーザーの割り当てと権限を管理できます。
カスタム: スーパー管理者が作成したロールです。名前、説明、割り当て、スコープ、権限など、すべての項目を編集できます。

ロールの作成#

ロールを作成する際には、まずスコープを事前に定義する必要があります。スコープはロールを特定のリソースエンティティ（ドメイン、プロジェクト、ユーザーなど）にバインドし、後で追加するすべての権限がここで定義したスコープ内でのみ動作するように制限します。

新しいカスタムロールを作成するには:

ロール一覧ページの右上にあるロールを作成ボタンをクリックします
作成モーダルで以下のフィールドを入力します:
- ロール名（必須）: 一意のロール名を入力します
- 説明（任意）: ロールの目的に関する説明を入力します
- スコープタイプ / 対象（必須、1つ以上）: 各スコープ行でスコープタイプを選択し、そのスコープタイプ内の特定の対象を選択します。追加ボタンでスコープ行を追加したり、削除アイコンで行を削除できます。少なくとも1つのスコープを追加する必要があります。
OKをクリックしてロールを作成します

情報

スコープはロール作成時に定義され、作成後はロール詳細パネルから編集できません。ロールを作成する前にスコープを慎重に計画してください。

スコープタイプ#

ロール作成時に利用できるスコープタイプは以下のとおりです:

ドメイン: アクティブなドメインのリストから選択
プロジェクト: プロジェクトを選択（ドメインフィルタリング可能）
ユーザー: メールアドレスまたは名前でユーザーを検索

ロール詳細の表示#

ロールの詳細情報を表示するには、テーブルでロール名をクリックします。ページの右側に詳細パネルが開きます。

パネルのヘッダーにはロール名が表示され、カスタムロールの場合は編集ボタンが提供されます。詳細セクションには以下のメタデータが表示されます:

ソース: システムまたはカスタム
ステータス: アクティブまたは非アクティブ
作成日時: 作成タイムスタンプ
更新日時: 最終変更タイムスタンプ
説明: ロールの説明

メタデータの下にはスコープ、権限、ロール割り当ての3つのタブがあります。

ロールの編集#

カスタムロールの名前や説明を編集するには:

テーブルでロール名をクリックして詳細パネルを開きます
パネルヘッダーの編集ボタン（鉛筆アイコン）をクリックします
編集モーダルでロール名や説明を変更します
OKをクリックして変更を保存します

注記

編集ボタンはカスタムロールでのみ利用可能です。システムロールの名前や説明は変更できません。また、どちらの場合もロール作成後にスコープを変更することはできません。

ロールのステータス管理#

ロール一覧から管理できる2つのステータスがあります:

アクティブ: ロールが現在有効です。アクティブなロールを非アクティブ化して一時的に停止できます。
非アクティブ: ロールが停止中です。非アクティブなロールをアクティブ化して復元するか、完全に削除して永久に削除できます。

ロール一覧の各行には、アクティブなロールを表示しているときは非アクティブ化ボタン、非アクティブなロールを表示しているときはアクティブ化とロールを完全に削除ボタンが表示されます。

危険

ロールの完全削除は元に戻せません。ロールとすべての関連データが永久に削除されます。完全削除する前に、ロールのすべてのユーザー割り当てと権限を先に削除する必要があります。

ロールのスコープ表示#

ロール詳細パネルのスコープタブには、ロール作成時に割り当てられたスコープエントリが一覧表示されます。各エントリは、このロールの権限が参照できる対象の集合を制限します。

テーブルには以下の列が表示されます:

スコープタイプ: スコープエントリのタイプです（例: ドメイン、プロジェクト、ユーザー）。
対象: スコープ対象の表示名です（例: ドメイン名、プロジェクト名、ユーザーのメールアドレス）。
スコープID: スコープ対象のUUIDです。

上部のフィルターコントロールを使用して、スコープタイプでエントリを絞り込むことができます。

注記

このタブではスコープは読み取り専用です。ロールのスコープを変更するには、目的のスコープを持つ新しいロールを作成する必要があります。

権限の管理#

ロール詳細パネルの権限タブでは、ロールに設定されたきめ細かい権限を確認できます。

権限について#

各権限は4つの構成要素で構成されています:

スコープタイプ: 権限が対象とするリソースの種類（例: ドメイン、プロジェクト、ユーザー）
対象: スコープタイプ内の特定のエンティティ（例: 特定のドメイン名、特定のプロジェクト）
権限タイプ: 権限が制御するリソースのカテゴリで、選択したスコープタイプに基づいてフィルタリングされます
権限: リソースに対して許可される操作です。選択した権限タイプに応じて、有効な操作のみが表示されます。操作は2つのカテゴリに分類されます:
- 直接実行: 作成、読み取り、更新、削除、完全削除
- 他ユーザーへ委任: 全権限委任、読み取り権限委任、更新権限委任、削除権限委任、完全削除権限委任

情報

各権限のスコープタイプ / 対象の組み合わせは、ロールのスコープエントリから継承されます。権限を追加する際は、ロール作成時に定義されたスコープからのみ選択できます。ロールの適用範囲を広げるには、追加のスコープを持つ新しいロールを作成する必要があります。

権限設定の例#

以下は、4つの構成要素がどのように連携するかを理解するための一般的な権限設定例です。スコープタイプ / 対象列は、権限が再利用するロールレベルのスコープを示しています。

シナリオ	スコープタイプ / 対象	権限タイプ	権限
特定プロジェクトでストレージフォルダの作成を許可	プロジェクト / my-project	VFolder	作成
ドメイン内のすべてのセッションの表示を許可	ドメイン / default	Session	読み取り
モデルサービングエンドポイントの管理を許可	ドメイン / default	Endpoint	作成、読み取り、更新
コンテナイメージの削除を許可	ドメイン / default	Image	削除

権限の追加#

ロール詳細パネルを開き、権限タブを選択します
権限を追加ボタンをクリックします
モーダルで以下のフィールドを入力します:
- スコープタイプ / 対象: ロールに割り当てられたスコープエントリの1つを選択します。ドロップダウンには、操作可能なエンティティが少なくとも1つ存在するスコープのみが表示されます。
- 権限タイプ: エンティティタイプを選択します。選択したスコープタイプに有効なタイプのみ表示されます。
- 権限: 操作を選択します（例: 作成、読み取り、更新、削除、完全削除、または委任操作）
追加をクリックして権限を作成します