Docker Sandboxes 組織ポリシー

組織のサンドボックスのネットワークとファイル システムのポリシーを一元管理します。

ローカル ポリシー (英語) では、個々の開発者がサンドボックスへのアクセス権を制御できます。組織ポリシーは、その制御を管理者レベルに引き上げます。Admin Console (管理コンソール) で定義されたルールは、すべてのメンバーまたは特定のチームなど、組織全体のサンドボックスに適用されます。組織ガバナンスが有効になっている場合、ローカルの sbx policy ルールは完全に置き換えられます。ローカル ルールは評価されなくなり、組織ポリシーを補完したり上書きしたりするために使用することはできません。

管理者は、Admin Console UI から、または Governance API (英語) を使用してプログラムで、組織ポリシーを管理できます。

ポリシーの作成

Docker Home の左側のナビゲーションにある Admin Console でポリシーを管理します。ネットワーク ポリシーとファイルシステム ポリシーは、Network accessFilesystem access の下で別々に管理されます。

ポリシーを作成するには:

  1. Docker Home にサインインし、組織を選択します。
  2. Admin Console を選択し、次に AI governance を選択します。
  3. Network access または Filesystem access を選択し、Create policy を選択します。
  4. Policy name を入力します。
  5. ScopeOrganization または Teams に設定します。Teams を選択した場合は、ポリシーを適用するチームを選択します。詳細については、チームへのポリシーのスコープ指定を参照してください。
  6. 各ルールを追加するには、Add rule を選択します。ルールの構文については、ポリシーの概念 (英語) を参照してください。

既存のポリシーは、名前、スコープ、ルール数、および最終更新日とともに一覧表示されます。アクション メニュー (⋮) を使用して、ポリシーを編集または削除します。

ネットワーク ポリシー
組織レベルのネットワーク ルールの構成

ネットワーク ルールは、ネットワーク ターゲットとアクション (許可 (allow) または拒否 (deny)) を受け取ります。1 行に 1 つずつ、一度に複数のエントリを追加できます。

完全な構文リファレンス (完全なホスト名、ワイルドカード サブドメイン、ポート サフィックス、および CIDR 範囲) については、ポリシーの概念 (英語) を参照してください。

組織ガバナンスが有効になっている場合、ローカルのネットワーク ルールは評価されません。有効なポリシーは組織ポリシーのみです。ローカル ルールは sbx policy ls に引き続き表示されますが、ステータスは inactive (非アクティブ) になります。ルール ビューの読み方については、モニタリング (英語) を参照してください。

ファイルシステム ポリシー

ファイルシステム ポリシーは、サンドボックスがワークスペースとしてマウントできるホスト パスを制御します。デフォルトでは、サンドボックスはユーザーがアクセスできる任意のディレクトリをマウントできます。

管理者は、ファイルシステムの許可および拒否ルールを使用して、マウント可能なパスを制限できます。各ルールはパス パターンとアクション (許可または拒否) を受け取ります。

*** の違いを含むパス パターンの構文については、ポリシーの概念 (英語) を参照してください。

チームへのポリシーのスコープ指定

組織は複数のポリシーを持つことができ、各ポリシーは組織全体または特定のチームに適用されます。スコープ指定を使用すると、組織の異なる部分に異なるルールを適用できます。

ポリシーのスコープは、ポリシーが誰に適用されるかを制御します。すべてのメンバーにポリシーを適用するには Organization に設定し、選択したチームのメンバーにのみ適用するには Teams に設定します。

始める前に

チームのスコープ指定は、組織の既存のチームをターゲットとするため、ポリシーをチームにスコープ指定する前にチームが存在している必要があります。以下の 2 つの方法のいずれかでチームを作成し、メンバーを管理します:

  • 手動で、Admin Console で。
  • 自動で、グループ マッピング (英語) を使用して ID プロバイダー (IdP) のグループと組織内のチームを同期します。グループ マッピングは、まだ存在しないチームを作成し、そのメンバーシップを IdP グループと同期させます。

ポリシーはチームごとに適用されるため、IdP から同期された変更を含め、チーム メンバーシップが変更されるとユーザーのポリシーは自動的に更新されます。

組織全体とチームスコープのポリシーの組み合わせ方

ユーザーは、有効なすべてのポリシー (すべての組織全体ポリシーに加え、所属するチームのチームスコープ ポリシー) によって同時に管理されます。ルールは 1 つの評価に統合され、常に「拒否」が優先されます。そのため、チームスコープ ポリシーは組織全体のポリシーに追加してアクセスを許可できますが、組織全体ポリシーによって課せられた制限を緩めることはできません。完全な評価モデルについては、ルール評価 (英語) を参照してください。

これにより、組織全体のポリシーは、どこでも維持されなければならないガードレールを配置するのに適した場所になります。たとえば、組織全体のポリシーですべてのメンバーに対してあるカテゴリのドメインを拒否する一方で、チームスコープ ポリシーで調査チームに追加のパッケージ ミラーへのアクセスを許可できます。調査チームのメンバーは追加のアクセス権を取得しますが、組織全体の拒否は引き続き適用されます。

優先順位

組織ガバナンスが有効になっている場合、ローカル ルールは評価されません。Admin Console で設定された組織ルールのみが許可または拒否を決定し、開発者のマシンから補完したり上書きしたりすることはできません。同じことがファイルシステム ポリシーにも当てはまり、組織ルールはローカルの動作を完全に置き換えます。ユーザーの組織ポリシーがどのように評価されるかについては、ポリシーの概念 (英語) を参照してください。

組織ガバナンスが有効なときにドメインのブロックを解除するには、Admin Console または API (英語) 経由でルールを更新します。組織ガバナンスがない場合は、sbx policy rm を使用してローカル ルールを削除します。

AI Governance ライセンス

AI Governance ライセンスにより、管理者はライセンスを保持するメンバーに対して、組織全体の AI ガバナンス ポリシーを作成して適用することができます。

  • AI Governance ライセンスは、Docker Sandbox の使用に適用されます。
  • AI Governance ライセンスは Docker Team や Docker Business とは独立しているため、既存のサブスクリプションがなくても AI Governance ライセンスを購入できます。
  • AI Governance ライセンスを購入すると、Docker Core のシートを持たない組織メンバーにも割り当てることができます。

AI Governance ライセンスを持つメンバーが Docker Sandbox を使用する場合、組織ポリシーがそのメンバーのローカル ポリシー ルールを上書きします。AI Governance ライセンスを持たないメンバーも引き続き Docker Sandbox を使用できますが、組織ポリシーによってその使用が管理されることはありません。

トラブルシューティング
ポリシーの変更が反映されない

Admin Console で組織ポリシーを更新した後、変更が開発者のマシンに伝播するまでに最大 5 分かかります。変更をすぐに適用するには、ユーザーは sbx policy reset を実行できます。これにより、デーモンが停止し、次の sbx コマンドで最新の組織ポリシーが強制的にプルされます。

サンドボックスがワークスペースをマウントできない

サンドボックスが mount policy denied エラーでマウントに失敗した場合は、Admin Console のファイルシステム許可ルールで * ではなく ** が使用されていることを確認してください。単一の * は、ディレクトリの区切り文字をまたいで一致しません。