通知を受け取る

UiPath 製品のインストールとアップグレード

UiPath 製品のインストールとアップグレード ガイド

FileSystem ストレージの許可リストを安全に使用する

v2020.4 では、Orchestrator にストレージ バケット機能が新しく追加されました。この機能を使用して、Orchestrator クライアント (主にワークフロー) はファイル形式のデータを読み取ったり書き込んだりできます。また、プロバイダーと呼ばれる補助的な保存先もいくつか実装しました。Azure Blob Store、Amazon S3、Minio、Orchestrator (Orchestrator の構成ストレージを使用)、そして FileSystem です。

FileSystem プロバイダーを使用すると、Orchestrator のエンド ユーザーがネットワーク共有 (例: \\fileserver\\orchestrator_bucket) または Orchestrator サーバーの絶対パス (例: c:\data\orchestrator_bucket) を使用して、データの保存先のパスを定義できます。

エンドユーザーが FileSystem の場所を選択し、その場所に機密情報が含まれていたり、その場所が一般的にオペレーティング システムの構成や設定の機密領域とみなされる場所であったりした場合、Orchestrator のデプロイやユース ケースに対して、意図しない悪影響が及ぼされる可能性があります。

このため、FileSystem プロバイダーの使用を非推奨とし、新規インストールとアップグレードの両方で FileSystem プロバイダーを既定で無効化しました。

To further mitigate the safety concerns with using the FileSystem provider, starting with v2020.4.5 (to be released) and v2020.10.7, we introduced an allowlist feature so that the Orchestrator admin can control the location of buckets that end-users can create. To use the FileSystem provider, an Orchestrator administrator must first enable the provider and use the allowlist feature from the Orchestrator UiPath.Orchestrator.dll.config file to include the list of locations that users are allowed to use. See Buckets.FileSystem.Allowlist for more details on this.

安全上の問題を軽減するために、Orchestrator 管理者は、許可リストにエントリを定義する際に以下のベスト プラクティスに従う必要があります。

  • Orchestrator インストールのルート ディレクトリや、Web サーバーによって提供されるディレクトリは使用しないでください。
  • 指定したフォルダーまたはネットワーク共有に、Orchestrator のユーザーやオートメーションがアクセスしてはならない機密情報を含む、サブディレクトリやファイルが含まれていないことを確認してください。
  • 予期しないデータにも読み取りアクセス権が付与されてしまうため、C:\ のような完全なパーティションを使用しないでください。
  • 可能であれば、アクセスはストレージ バケット専用に作成されたサブディレクトリに制限してください。たとえば、C:\my_data にすべてのデータを保存している場合、storage_buckets というサブディレクトリを作成し、C:\my_data の代わりに C:\my_data\storage_buckets を許可リストに追加してください。
  • 機密データが含まれている可能性があるため、許可対象のパスを決定する前に、非表示のファイルやフォルダーを確認してください。
  • ネットワーク共有全体ではなく、ネットワーク共有内の特定のフォルダーを使用してください (例: \\server.corp\sharedfolder)。
  • 機密情報が含まれている可能性があるため、システム固有のフォルダー (C:\WindowsC:\Program FilesC:\ProgramData など) は許可しないでください。
  • 管理用共有 (例:\\server.corp\c$\) の使用は許可しないでください。
  • 複数のユーザーが、ディスク上の同じ場所をストレージ バケットとして指定できます。そのため、データがユーザーやそのテナントのためだけに隔離される保証は一切ありませんので、ユーザーがバケットに機密データを保存しないようにしてください。

1 年前に更新


FileSystem ストレージの許可リストを安全に使用する


改善の提案は、API リファレンスのページでは制限されています

改善を提案できるのは Markdown の本文コンテンツのみであり、API 仕様に行うことはできません。