automation-suite
2023.4
false
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。
EKS/AKS の Automation Suite のインストール ガイド
Last updated 2024年9月20日

セキュリティとコンプライアンス

Gatekeeper と OPA ポリシー

Automation Suite には、Gatekeeper と OPA ポリシーが事前に構成されています。独自の Gatekeeper コンポーネントと OPA ポリシーを使用する場合は、Automation Suite のインストール時にこれらのコンポーネントをスキップできます。詳しくは、Automation Suite のスタックをご覧ください。この場合、OPA ポリシーと、Automation Suite のインストールと実行に必要な例外を確認してください。

OPA ポリシー

ポリシー

適用されるアクション

除外される名前空間/イメージ

ルート権限へのエスカレーションの制限を制御します。PodSecurityPolicy の allowPrivilegeEscalation フィールドに対応します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

コンテナーで使用する AppArmor プロファイルの許可リストを設定します。PodSecurityPolicy に適用される特定の注釈に対応します。

deny

  • kube-system

コンテナーでの Linux の機能を制御します。PodSecurityPolicy の allowedCapabilities フィールドと requiredDropCapabilities フィールドに対応します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

FlexVolume ドライバーの許可リストを制御します。PodSecurityPolicy の allowedFlexVolumes フィールドに対応します。

deny

N/A

deny

  • istio-system

ポッドのボリュームを所有する FSGroup の割り当てを制御します。PodSecurityPolicy の fsGroup フィールドに対応します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

ホスト ファイルシステムの使用を制御します。PodSecurityPolicy の allowedHostPaths フィールドに対応します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

ポッド コンテナーでホストの PID 名前空間と IPC 名前空間を共有することを禁止します。PodSecurityPolicy の hostPID フィールドと hostIPC フィールドに対応します。

deny

  • kube-system

  • 監視

ポッド コンテナーによるホスト ネットワーク名前空間の使用を制御します。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

特権モードを有効化するコンテナーの機能を制御します。PodSecurityPolicy の privileged フィールドに対応します。

deny

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

コンテナーで許可される procMount の種類を制御します。PodSecurityPolicy の allowedProcMountTypes フィールドに対応します。

deny

N/A

ポッド コンテナーは読み取り専用のルート ファイル システムを使用する必要があります。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

コンテナーで使用する seccomp プロファイルを制御します。PodSecurityPolicy の seccomp.security.alpha.kubernetes.io/allowedProfileNames 注釈に対応します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

ポッド コンテナーの seLinuxOptions 設定の許可リストを定義します。

deny

N/A

コンテナーおよび一部のボリュームのユーザー ID とグループ ID を制御します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • velero

マウント可能なボリュームの種類を、ユーザーが指定したものに制限します。

deny

  • 監視

  • logging

注:
  • 名前空間 dapr-system は、Process Mining と Task Mining をインストールする場合にのみ必要です。
  • 名前空間 airflow は、Process Mining をインストールする場合にのみ必要です。
  • prereq** は前提条件の実行または健全性チェックの間に作成される一時的な名前空間です。完了するとこの名前空間は自己削除されます。

その他の OPA ポリシー

ポリシー

適用されるアクション

除外される名前空間/イメージ

automountServiceAccountToken を有効化するポッドの機能を制御します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

コンテナー イメージは指定したリストの文字列で始まる必要があります。

dryrun

  • registry.uipath.com

  • registry-data.uipath.com

deny

N/A

種類が LoadBalancer であるサービスをすべて禁止します。

deny

  • kube-system

NodePort のすべてのサービスを禁止します。

deny

  • istio-system

  • network-prereq-checks

ユーザーが空白またはワイルドカード (*) のホスト名を持つ Ingress を作成できないようにします。このようなホスト名を使用すると、アクセス権がなくてもクラスター内の他のサービスのトラフィックをインターセプトできるためです。

deny

N/A

コンテナーにメモリと CPU の制限を設定する必要があります。制限値を、指定した最大値の範囲内に制限します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

コンテナーがメモリと CPU の要件セットを含むよう要求します。要求が指定した最大値の範囲内となるよう強制します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**"

要求に対するコンテナー リソース制限の最大比率を設定します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

コンテナーに、定義済みのリソースを設定する必要があります。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

ClusterRole リソースと Role リソースを system:anonymous ユーザーと system:unauthenticated グループに関連付けることを禁止します。

deny

N/A

コンテナー イメージに、指定したリストのイメージ タグとは異なるイメージ タグを付ける必要があります。

deny

N/A

コンテナーにエフェメラル ストレージの制限を設定する必要があります。また、その制限値を、指定した最大値の範囲内に制限します。

dryrun

  • Gatekeeper

  • logging

  • dapr-system

  • uipath-installer

  • kube-system

  • UiPath

  • argocd

  • 既定

  • istio-system

  • cert-manager

  • 監視

  • airflow

  • prereq**

deny

N/A

Ingress リソースを HTTPS 専用にする必要があります。Ingress リソースに kubernetes.io/ingress.allow-http 注釈を含め、false に設定する必要があります。既定では、TLS {} の有効な設定が必要です。tlsOptional パラメーターを true に設定すると、この設定を任意にすることができます。

dryrun

  • 監視

コンテナー イメージにダイジェストを含める必要があります。

dryrun

  • UiPath

ポッド上で抽象化されたリソースでサービス アカウントの更新をブロックします。このポリシーは監査モードでは無視されます。

dryrun

N/A

deny

  • airflow

ポッドが Readiness Probe および/または Liveness Probe を持つ必要があります。

dryrun

  • UiPath

使用する場合はストレージ クラスを指定する必要があります。

dryrun

N/A

すべての Ingress ルール ホストが一意である必要があります。

dryrun

N/A

サービスは名前空間内で一意のセレクターを使用する必要があります。キーと値が同一のセレクターは同じと見なされます。複数のセレクターで 1 つのキー/値のペアを共有できます。ただし、セレクター間で異なるキー/値のペアが 1 つ以上あることが条件です。

dryrun

N/A

注:
  • 名前空間 dapr-system は、Process Mining と Task Mining をインストールする場合にのみ必要です。
  • 名前空間 airflow は、Process Mining をインストールする場合にのみ必要です。
  • prereq** は前提条件の実行または健全性チェックの間に作成される一時的な名前空間です。完了するとこの名前空間は自己削除されます。

ネットワーク ポリシー

Automation Suite には、最小特権ネットワーク アクセスの原則に従うための標準の Kubernetes ネットワーク ポリシーが事前に構成されています。UiPath が提供するネットワーク ポリシーのインストールをスキップするには、input.jsonexclude components リストに network-policies を追加します。任意のコンポーネントの詳細については、Automation Suite のスタックをご覧ください。
Automation Suite は、uipath 名前空間との間で、この名前空間内のネットワークを適用します。独自のネットワーク ポリシーを利用する場合や、カスタム CNI (Cilium Enterprise や Calico Tigera Enterprise など) を使用している場合は、ポリシーを更新して Helm チャート network-policies を反映させてください。
Automation Suite の network-policies Helm チャートは、次のコマンドを使用して確認できます。
注:
  • 以下のコマンドでは、<automation-suite-version> の部分を現在の Automation Suite のバージョンで置換する必要があります。
  • Helm チャートを抽出するには、このファイルを解凍する必要があります。
helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>helm pull oci://registry.uipath.com/helm/network-policies --version <automation-suite-version>

クラスターの特権の要件

管理ノードで uipathctl が専用クラスターに Automation Suite をインストールおよび管理するには、クラスター管理者のアクセス権が必要です。 Istio (ルーティング/サービス メッシュ) や ArgoCD (デプロイとアプリケーション ライフサイクル管理) などの Automation Suite のシステム レベルのコンポーネント、および Automation Suite 関連の名前空間の作成には、このレベルのアクセス権が必要です。

このページは役に立ちましたか?

サポートを受ける
RPA について学ぶ - オートメーション コース
UiPath コミュニティ フォーラム
Uipath Logo White
信頼とセキュリティ
© 2005-2024 UiPath. All rights reserved.