- 概要
- 要件
- インストール
- 前提条件の確認
- インストール パッケージをダウンロードする
- uipathctl cluster
- uipathctl cluster maintenance
- uipathctl cluster maintenance disable
- uipathctl cluster maintenance enable
- uipathctl cluster maintenance is-enabled
- uipathctl cluster upgrade
- uipathctl config
- uipathctl config alerts
- uipathctl config alerts add-email
- uipathctl config alerts remove-email
- uipathctl config alerts update-email
- uipathctl config additional-ca-certificates get
- uipathctl config tls-certificates get
- uipathctl config orchestrator
- uipathctl config orchestrator get-config
- uipathctl config orchestrator update-config
- uipathctl config additional-ca-certificates update
- uipathctl config tls-certificates update
- uipathctl health
- uipathctl health bundle
- uipathctl health check
- uipathctl health diagnose
- uipathctl health test
- uipathctl identity
- uipathctl identity add-host-admin
- uipathctl identity enable-basic-auth
- uipathctl identity get-saml-certificate
- uipathctl identity get-token-signing-certificate
- uipathctl identity rotate-saml-certificates
- uipathctl identity rotate-token-signing-certificates
- uipathctl identity update-saml-certificate
- uipathctl identity update-token-signing-certificate
- uipathctl manifest
- uipathctl manifest apply
- uipathctl manifest diff
- uipathctl manifest get
- uipathctl manifest list-applications
- uipathctl manifest render
- uipathctl prereq
- uipathctl prereq create
- uipathctl prereq run
- uipathctl resource
- uipathctl resource report
- uipathctl snapshot
- uipathctl snapshot backup
- uipathctl snapshot backup create
- uipathctl snapshot backup disable
- uipathctl snapshot backup enable
- uipathctl snapshot delete
- uipathctl snapshot list
- uipathctl snapshot restore
- uipathctl snapshot restore create
- uipathctl snapshot restore delete
- uipathctl snapshot restore history
- uipathctl snapshot restore logs
- uipathctl sso
- uipathctl sso generate-connector
- uipathctl sso generate-overlays
- uipathctl sso generate-rbac
- uipathctl version
- インストール後
- 移行とアップグレード
- 監視とアラート機能
- クラスターの管理
- 製品固有の設定
- トラブルシューティング
セキュリティとコンプライアンス
Automation Suite には、Gatekeeper と OPA ポリシーが事前に構成されています。独自の Gatekeeper コンポーネントと OPA ポリシーを使用する場合は、Automation Suite のインストール時にこれらのコンポーネントをスキップできます。詳しくは、Automation Suite のスタックをご覧ください。この場合、OPA ポリシーと、Automation Suite のインストールと実行に必要な例外を確認してください。
ポリシー |
適用されるアクション |
除外される名前空間/イメージ |
---|---|---|
ルート権限へのエスカレーションの制限を制御します。PodSecurityPolicy の
allowPrivilegeEscalation フィールドに対応します。
|
|
|
コンテナーで使用する AppArmor プロファイルの許可リストを設定します。PodSecurityPolicy に適用される特定の注釈に対応します。 |
|
|
コンテナーでの Linux の機能を制御します。PodSecurityPolicy の
allowedCapabilities フィールドと requiredDropCapabilities フィールドに対応します。
|
|
|
FlexVolume ドライバーの許可リストを制御します。PodSecurityPolicy の
allowedFlexVolumes フィールドに対応します。
|
|
N/A |
|
| |
ポッドのボリュームを所有する FSGroup の割り当てを制御します。PodSecurityPolicy の
fsGroup フィールドに対応します。
|
|
|
ホスト ファイルシステムの使用を制御します。PodSecurityPolicy の
allowedHostPaths フィールドに対応します。
|
|
|
ポッド コンテナーでホストの PID 名前空間と IPC 名前空間を共有することを禁止します。PodSecurityPolicy の
hostPID フィールドと hostIPC フィールドに対応します。
|
|
|
ポッド コンテナーによるホスト ネットワーク名前空間の使用を制御します。 |
|
|
特権モードを有効化するコンテナーの機能を制御します。PodSecurityPolicy の
privileged フィールドに対応します。
|
|
|
コンテナーで許可される
procMount の種類を制御します。PodSecurityPolicy の allowedProcMountTypes フィールドに対応します。
|
|
N/A |
ポッド コンテナーは読み取り専用のルート ファイル システムを使用する必要があります。 |
|
|
コンテナーで使用する seccomp プロファイルを制御します。PodSecurityPolicy の
seccomp.security.alpha.kubernetes.io/allowedProfileNames 注釈に対応します。
|
|
|
ポッド コンテナーの seLinuxOptions 設定の許可リストを定義します。 |
|
N/A |
コンテナーおよび一部のボリュームのユーザー ID とグループ ID を制御します。 |
|
|
マウント可能なボリュームの種類を、ユーザーが指定したものに制限します。 |
|
|
-
名前空間
dapr-system
は、Process Mining と Task Mining をインストールする場合にのみ必要です。 -
名前空間
airflow
は、Process Mining をインストールする場合にのみ必要です。 -
prereq**
は前提条件の実行または健全性チェックの間に作成される一時的な名前空間です。完了するとこの名前空間は自己削除されます。
ポリシー |
適用されるアクション |
除外される名前空間/イメージ |
---|---|---|
automountServiceAccountToken を有効化するポッドの機能を制御します。
|
|
|
コンテナー イメージは指定したリストの文字列で始まる必要があります。 |
|
|
|
|
N/A |
種類が LoadBalancer であるサービスをすべて禁止します。 |
|
|
NodePort のすべてのサービスを禁止します。 |
|
|
ユーザーが空白またはワイルドカード (*) のホスト名を持つ Ingress を作成できないようにします。このようなホスト名を使用すると、アクセス権がなくてもクラスター内の他のサービスのトラフィックをインターセプトできるためです。 |
|
N/A |
コンテナーにメモリと CPU の制限を設定する必要があります。制限値を、指定した最大値の範囲内に制限します。 |
|
|
コンテナーがメモリと CPU の要件セットを含むよう要求します。要求が指定した最大値の範囲内となるよう強制します。 |
|
|
要求に対するコンテナー リソース制限の最大比率を設定します。 |
|
|
コンテナーに、定義済みのリソースを設定する必要があります。 |
|
|
ClusterRole リソースと Role リソースを
system:anonymous ユーザーと system:unauthenticated グループに関連付けることを禁止します。
|
|
N/A |
コンテナー イメージに、指定したリストのイメージ タグとは異なるイメージ タグを付ける必要があります。 |
|
N/A |
コンテナーにエフェメラル ストレージの制限を設定する必要があります。また、その制限値を、指定した最大値の範囲内に制限します。 |
|
|
|
|
N/A |
Ingress リソースを HTTPS 専用にする必要があります。Ingress リソースに
kubernetes.io/ingress.allow-http 注釈を含め、false に設定する必要があります。既定では、TLS {} の有効な設定が必要です。tlsOptional パラメーターを true に設定すると、この設定を任意にすることができます。
|
|
|
コンテナー イメージにダイジェストを含める必要があります。 |
|
|
ポッド上で抽象化されたリソースでサービス アカウントの更新をブロックします。このポリシーは監査モードでは無視されます。 |
|
N/A |
|
|
|
ポッドが Readiness Probe および/または Liveness Probe を持つ必要があります。 |
|
|
使用する場合はストレージ クラスを指定する必要があります。 |
|
N/A |
すべての Ingress ルール ホストが一意である必要があります。 |
|
N/A |
サービスは名前空間内で一意のセレクターを使用する必要があります。キーと値が同一のセレクターは同じと見なされます。複数のセレクターで 1 つのキー/値のペアを共有できます。ただし、セレクター間で異なるキー/値のペアが 1 つ以上あることが条件です。 |
|
N/A |
-
名前空間
dapr-system
は、Process Mining と Task Mining をインストールする場合にのみ必要です。 -
名前空間
airflow
は、Process Mining をインストールする場合にのみ必要です。 -
prereq**
は前提条件の実行または健全性チェックの間に作成される一時的な名前空間です。完了するとこの名前空間は自己削除されます。
input.json
の exclude components
リストに network-policies
を追加します。任意のコンポーネントの詳細については、Automation Suite のスタックをご覧ください。
uipath
名前空間との間で、この名前空間内のネットワークを適用します。独自のネットワーク ポリシーを利用する場合や、カスタム CNI (Cilium Enterprise や Calico Tigera Enterprise など) を使用している場合は、ポリシーを更新して Helm チャート network-policies
を反映させてください。
network-policies
Helm チャートは、次のコマンドを使用して確認できます。
- 以下のコマンドでは、
<automation-suite-version>
の部分を現在の Automation Suite のバージョンで置換する必要があります。 - Helm チャートを抽出するには、このファイルを解凍する必要があります。
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>