orchestrator
2020.10
false
- 基本情報
- 要件
- ベスト プラクティス
- デプロイと構成に関する考慮事項
- SQL Server を暗号化する
- HTTP メソッドのオーバーライド 要求を無効にする
- FileSystem ストレージの許可リストを安全に使用する
- インストール
- 更新
- Identity Server
- High Availability Add-on
FileSystem ストレージの許可リストを安全に使用する
重要 :
このコンテンツの一部は機械翻訳によって処理されており、完全な翻訳を保証するものではありません。
サポート対象外
Orchestrator インストール ガイド
Last updated 2023年12月12日
FileSystem ストレージの許可リストを安全に使用する
v2020.4 では、Orchestrator にストレージ バケット機能が新しく追加されました。この機能を使用して、Orchestrator クライアント (主にワークフロー) はファイル形式のデータを読み取ったり書き込んだりできます。また、プロバイダーと呼ばれる補助的な保存先もいくつか実装しました。Azure Blob Store、Amazon S3、Minio、Orchestrator (Orchestrator の構成ストレージを使用)、そして FileSystem です。
FileSystem プロバイダーを使用すると、Orchestrator のエンド ユーザーがネットワーク共有 (例:
\\fileserver\\orchestrator_bucket
) または Orchestrator サーバーの絶対パス (例: c:\data\orchestrator_bucket
) を使用して、データの保存先のパスを定義できます。
エンドユーザーが FileSystem の場所を選択し、その場所に機密情報が含まれていたり、その場所が一般的にオペレーティング システムの構成や設定の機密領域とみなされる場所であったりした場合、Orchestrator のデプロイやユース ケースに対して、意図しない悪影響が及ぼされる可能性があります。
このため、FileSystem プロバイダーの使用を非推奨とし、新規インストールとアップグレードの両方で FileSystem プロバイダーを既定で無効化しました。
FileSystem プロバイダーの使用に伴う安全性に関する問題をさらに軽減するため、v2020.4.5 (今後公開予定) および v2020.10.7 では、許可リスト機能を導入し、Orchestrator 管理者によってエンド ユーザーが作成できるバケットの場所を制御できるようにしました。FileSystem プロバイダーを使用するには、Orchestrator 管理者はまずプロバイダーを有効化し、次に、Orchestrator の
UiPath.Orchestrator.dll.config
ファイルの許可リスト機能を使用して、ユーザーが使用できる場所のリストを作成する必要があります。詳細については、「Buckets.FileSystem.Allowlist」をご確認ください。
安全上の問題を軽減するために、Orchestrator 管理者は、許可リストにエントリを定義する際に以下のベスト プラクティスに従う必要があります。
- Orchestrator インストールのルート ディレクトリや、Web サーバーによって提供されるディレクトリは使用しないでください。
- 指定したフォルダーまたはネットワーク共有に、Orchestrator のユーザーやオートメーションがアクセスしてはならない機密情報を含む、サブディレクトリやファイルが含まれていないことを確認してください。
- 予期しないデータにも読み取りアクセス権が付与されてしまうため、
C:\
のような完全なパーティションを使用しないでください。 - 可能であれば、アクセスはストレージ バケット専用に作成されたサブディレクトリに制限してください。たとえば、
C:\my_data
にすべてのデータを保存している場合、storage_buckets
というサブディレクトリを作成し、C:\my_data
の代わりにC:\my_data\storage_buckets
を許可リストに追加してください。 - 機密データが含まれている可能性があるため、許可対象のパスを決定する前に、非表示のファイルやフォルダーを確認してください。
- ネットワーク共有全体ではなく、ネットワーク共有内の特定のフォルダーを使用してください (例:
\\server.corp\sharedfolder
)。 - 機密情報が含まれている可能性があるため、システム固有のフォルダー (
C:\Windows
、C:\Program Files
、C:\ProgramData
など) は許可しないでください。 - 管理用共有 (例:
\\server.corp\c$\
) の使用は許可しないでください。 - 複数のユーザーが、ディスク上の同じ場所をストレージ バケットとして指定できます。そのため、データがユーザーやそのテナントのためだけに隔離される保証は一切ありませんので、ユーザーがバケットに機密データを保存しないようにしてください。