- 概要
- 要件
- インストール
- 前提条件の確認
- インストール パッケージをダウンロードする
- uipathctl cluster
- uipathctl cluster maintenance
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl cluster migration
- uipathctl cluster migration export
- uipathctl cluster migration import
- uipathctl cluster migration run
- uipathctl cluster upgrade
- uipathctl config
- uipathctl config add-host-admin
- uipathctl config additional-ca-certificates
- uipathctl config additional-ca-certificates get
- uipathctl config additional-ca-certificates update
- uipathctl config alerts
- uipathctl config alerts add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config argocd
- uipathctl config argocd ca-certificates
- uipathctl config argocd ca-certificates get
- uipathctl config argocd ca-certificates update
- uipathctl config argocd generate-dex-config
- uipathctl config argocd generate-rbac
- uipathctl config argocd registry
- uipathctl config argocd registry get
- uipathctl config argocd registry update
- uipathctl config enable-basic-auth
- uipathctl config orchestrator
- uipathctl config orchestrator get-config
- uipathctl config orchestrator update-config
- uipathctl config saml-certificates get
- uipathctl config saml-certificates rotate
- uipathctl config saml-certificates update
- uipathctl config tls-certificates
- uipathctl config tls-certificates get
- uipathctl config tls-certificates update
- uipathctl config token-signing-certificates
- uipathctl config token-signing-certificates get
- uipathctl config token-signing-certificates rotate
- uipathctl config token-signing-certificates update
- uipathctl health
- uipathctl health bundle
- uipathctl health check
- uipathctl health diagnose
- uipathctl health test
- uipathctl manifest
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest get-revision
- uipathctl manifest list-applications
- uipathctl manifest list-revisions
- uipathctl manifest render
- uipathctl prereq
- uipathctl prereq create
- uipathctl prereq run
- uipathctl resource
- uipathctl resource report
- uipathctl snapshot
- uipathctl snapshot backup
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- uipathctl version
- インストール後
- 移行とアップグレード
- 監視とアラート機能
- クラスターの管理
- 製品固有の設定
- トラブルシューティング
セキュリティとコンプライアンス
UiPath® サービスのセキュリティ コンテキスト セットの仕様に関して、重要な情報を以下に示します。
spec セクション内で特に定義されたセキュリティ コンテキストを使用して構成されます。コア設定は次のとおりです。
spec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: falsespec:
securityContext:
runAsNonRoot: true
runAsUser: 1000
runAsGroup: 1000
fsGroup: 1000
containers:
- securityContext:
allowPrivilegeEscalation: false
readOnlyRootFilesystem: true
capabilities:
drop: ["ALL"]
hostPID: false
hostNetwork: false場合によっては、ユーザー ID とグループ ID が 1000 以上になることがあり、そのような値が許容されるかは環境によることに注意してください。 ユーザー ID とグループ ID は、セキュリティ原則と組織のセキュリティ ガイドラインに従って構成することが重要です。
Automation Suite には、Gatekeeper と OPA ポリシーが事前に構成されています。独自の Gatekeeper コンポーネントと OPA ポリシーを使用する場合は、Automation Suite のインストール時にこれらのコンポーネントをスキップできます。詳しくは、Automation Suite のスタックをご覧ください。この場合、OPA ポリシーと、Automation Suite のインストールと実行に必要な例外を確認してください。
-uipath、uipath-installer、uipath-infra、airflow、および argocd でのみ実行されます。|
ポリシー |
適用されるアクション |
除外される名前空間/イメージ |
|---|---|---|
|
ルート権限へのエスカレーションの制限を制御します。PodSecurityPolicy の
allowPrivilegeEscalation フィールドに対応します。
|
|
|
|
コンテナーで使用する AppArmor プロファイルの許可リストを設定します。PodSecurityPolicy に適用される特定の注釈に対応します。 |
|
|
|
コンテナーでの Linux の機能を制御します。PodSecurityPolicy の
allowedCapabilities フィールドと requiredDropCapabilities フィールドに対応します。
|
|
|
|
FlexVolume ドライバーの許可リストを制御します。PodSecurityPolicy の
allowedFlexVolumes フィールドに対応します。
|
|
|
|
|
| |
|
ポッドのボリュームを所有する FSGroup の割り当てを制御します。PodSecurityPolicy の
fsGroup フィールドに対応します。
|
|
|
|
ホスト ファイルシステムの使用を制御します。PodSecurityPolicy の
allowedHostPaths フィールドに対応します。
|
|
|
|
ポッド コンテナーでホストの PID 名前空間と IPC 名前空間を共有することを禁止します。PodSecurityPolicy の
hostPID フィールドと hostIPC フィールドに対応します。
|
|
|
|
ポッド コンテナーによるホスト ネットワーク名前空間の使用を制御します。 |
|
|
|
特権モードを有効化するコンテナーの機能を制御します。PodSecurityPolicy の
privileged フィールドに対応します。
|
|
|
|
コンテナーで許可される
procMount の種類を制御します。PodSecurityPolicy の allowedProcMountTypes フィールドに対応します。
|
|
|
|
ポッド コンテナーは読み取り専用のルート ファイル システムを使用する必要があります。 |
|
|
|
コンテナーで使用する seccomp プロファイルを制御します。PodSecurityPolicy の
seccomp.security.alpha.kubernetes.io/allowedProfileNames 注釈に対応します。
|
|
|
|
ポッド コンテナーの seLinuxOptions 設定の許可リストを定義します。 |
|
|
|
コンテナーおよび一部のボリュームのユーザー ID とグループ ID を制御します。 |
|
|
|
マウント可能なボリュームの種類を、ユーザーが指定したものに制限します。 |
|
|
-
名前空間
dapr-systemは、Process Mining と Task Mining をインストールする場合にのみ必要です。 -
名前空間
airflowは、Process Mining をインストールする場合にのみ必要です。
|
ポリシー |
適用されるアクション |
除外される名前空間/イメージ |
|---|---|---|
automountServiceAccountToken を有効化するポッドの機能を制御します。
|
|
|
|
コンテナー イメージは指定したリストの文字列で始まる必要があります。 |
|
|
|
|
|
N/A |
|
種類が LoadBalancer であるサービスをすべて禁止します。 |
|
|
|
NodePort のすべてのサービスを禁止します。 |
|
|
|
ユーザーが空白またはワイルドカード (*) のホスト名を持つ Ingress を作成できないようにします。このようなホスト名を使用すると、アクセス権がなくてもクラスター内の他のサービスのトラフィックをインターセプトできるためです。 |
|
|
|
コンテナーにメモリと CPU の制限を設定する必要があります。制限値を、指定した最大値の範囲内に制限します。 |
|
|
|
コンテナーがメモリと CPU の要件セットを含むよう要求します。要求が指定した最大値の範囲内となるよう強制します。 |
|
|
|
要求に対するコンテナー リソース制限の最大比率を設定します。 |
|
|
|
コンテナーに、定義済みのリソースを設定する必要があります。 |
|
|
|
ClusterRole リソースと Role リソースを
system:anonymous ユーザーと system:unauthenticated グループに関連付けることを禁止します。
|
|
N/A |
|
コンテナー イメージに、指定したリストのイメージ タグとは異なるイメージ タグを付ける必要があります。 |
|
N/A |
|
コンテナーにエフェメラル ストレージの制限を設定する必要があります。また、その制限値を、指定した最大値の範囲内に制限します。 |
|
|
|
|
|
N/A |
|
Ingress リソースを HTTPS 専用にする必要があります。Ingress リソースに
kubernetes.io/ingress.allow-http 注釈を含め、false に設定する必要があります。既定では、TLS {} の有効な設定が必要です。tlsOptional パラメーターを true に設定すると、この設定を任意にすることができます。
|
|
|
|
コンテナー イメージにダイジェストを含める必要があります。 |
|
|
|
ポッド上で抽象化されたリソースでサービス アカウントの更新をブロックします。このポリシーは監査モードでは無視されます。 |
|
N/A |
|
|
|
|
|
ポッドが Readiness Probe および/または Liveness Probe を持つ必要があります。 |
|
|
|
使用する場合はストレージ クラスを指定する必要があります。 |
|
N/A |
|
すべての Ingress ルール ホストが一意である必要があります。 |
|
N/A |
|
サービスは名前空間内で一意のセレクターを使用する必要があります。キーと値が同一のセレクターは同じと見なされます。複数のセレクターで 1 つのキー/値のペアを共有できます。ただし、セレクター間で異なるキー/値のペアが 1 つ以上あることが条件です。 |
|
N/A |
-
名前空間
dapr-systemは、Process Mining と Task Mining をインストールする場合にのみ必要です。 -
名前空間
airflowは、Process Mining をインストールする場合にのみ必要です。 -
prereq**は前提条件の実行または健全性チェックの間に作成される一時的な名前空間です。完了するとこの名前空間は自己削除されます。
input.json の exclude components リストに network-policies を追加します。任意のコンポーネントの詳細については、Automation Suite のスタックをご覧ください。
uipath 名前空間との間で、この名前空間内のネットワークを適用します。独自のネットワーク ポリシーを利用する場合や、カスタム CNI (Cilium Enterprise や Calico Tigera Enterprise など) を使用している場合は、ポリシーを更新して Helm チャート network-policies を反映させてください。
network-policies Helm チャートは、次のコマンドを使用して確認できます。
- 以下のコマンドでは、
<automation-suite-version>の部分を現在の Automation Suite のバージョンで置換する必要があります。 - Helm チャートを抽出するには、このファイルを解凍する必要があります。
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>uipathctl を実行して専用の EKS または AKS クラスターに Automation Suite をインストールおよび管理するには、クラスター管理者のアクセス権が必要です。Istio (ルーティング/サービス メッシュ) や ArgoCD (デプロイとアプリケーション ライフサイクル管理) などの Automation Suite のシステム レベルのコンポーネント、および Automation Suite 関連の名前空間の作成には、このレベルのアクセス権が必要です。
Federal Information Processing Standards 140-2 (FIPS 140-2) は、暗号化モジュールの有効性を検証するセキュリティ標準です。
AKS の Automation Suite は、FIPS 140-2 が有効化されたノードで実行できます。
以下のシナリオでは、Automation Suite をインストールする AKS ノードで FIPS 140-2 を有効化できます。
- シナリオ 1: 新規インストール - Automation Suite 2023.4 以降のクリーン インストールを実行する前に、FIPS 140-2 を有効化します。
- シナリオ 2: 既存のインストール - FIP 140-2 が無効化されているマシンで Automation Suite のインストールを実行した後、FIPS 140-2 を有効化します。
