Em algumas situações, talvez seja necessário configurar permissões de função mais granulares, além das opções disponíveis na guia Tarefas no Editor de funções. A guia Avançado fornece um controle mais completo sobre os trabalhos que uma função pode concluir.
As etapas a seguir devem ser concluídas por um administrador Salt experiente que entenda sua infraestrutura geral.
Definindo permissões avançadas
- Clique em Administração > Funções no menu lateral. Em seguida, selecione a guia Avançado.
- Verifique se a função necessária está selecionada no painel lateral Funções.
- Marque ou desmarque as permissões conforme necessário, escolhendo entre Ler, Executar, Gravar ou Excluir para uma faixa de áreas funcionais.
Consulte Itens para obter mais informações sobre os tipos de recursos e as áreas funcionais disponíveis.
As permissões mínimas recomendadas para operações típicas dos usuários estão realçadas em azul, como mostra a figura a seguir.
Essa figura mostra duas caixas mínimas recomendadas à esquerda, uma marcada e a outra desmarcada, em comparação com duas caixas normais à direita.
- Clique em Salvar.
Tipos de permissão
Permissão |
Descrição |
---|---|
Ler |
A função pode visualizar um determinado tipo de recurso ou área funcional. Por exemplo, se você atribuir a função |
Executar |
A função pode executar um determinado tipo de operação. O tipo de operação permitido pode variar, por exemplo, você pode atribuir permissão para executar comandos arbitrários em subordinados ou executar comandos em controladores Salt. |
Gravar |
A função pode criar e editar um determinado tipo de recurso ou área funcional. Por exemplo, você pode atribuir |
Excluir |
A função pode excluir um determinado tipo de recurso ou outro item em uma determinada área funcional. Por exemplo, você pode atribuir |
Itens
Ao definir permissões para uma função no editor avançado, as ações acima podem ser aplicadas aos seguintes recursos ou áreas funcionais.
Tipo de recurso/Área funcional |
Descrição |
Consulte também |
---|---|---|
Todos os comandos de subordinados |
Execute comandos no destino Todos os subordinados. O destino Todos os subordinados pode variar com base na combinação de subordinados que a função tem permissão para acessar. |
|
Administrador |
Concede privilégios administrativos somente na interface do usuário do SaltStack Config. Lembre-se de que isso não inclui acesso administrativo à API (RaaS). Como prática recomendada, tenha cuidado ao conceder esse nível de acesso a uma função. |
Consulte Configurações padrão para funções integradas para ver uma explicação detalhada sobre os privilégios de usuários administrativos. |
Log de Auditoria |
O log de auditoria é um registro de todas as atividades no SaltStack Config que inclui detalhes das ações de cada usuário. |
Consulte rpc_audit ou entre em contato com um administrador para obter assistência. |
Comandos |
Um comando é uma ou mais tarefas executadas como parte de um trabalho. Cada comando inclui informações de destino, uma função e argumentos opcionais. |
|
Servidor de Arquivos |
O servidor de arquivos é um local para armazenar arquivos específicos do Salt, como arquivos "top" ou de estado, além de arquivos que podem ser distribuídos para subordinados, como arquivos de configuração do sistema. |
|
Grupos |
Grupos são conjuntos de usuários que compartilham características comuns e precisam de configurações de acesso de usuário semelhantes. |
|
Trabalhos |
Trabalhos são usados para executar tarefas de execução remota, aplicar estados e iniciar executores Salt. |
|
Licença |
Sua licença inclui snapshots de uso, além de detalhes como número de controladores Salt e subordinados licenciados para a sua instalação e a data de expiração da licença. |
Consulte rpc_license ou entre em contato com um administrador para obter assistência. |
Configuração do controlador Salt |
O arquivo de configuração do controlador Salt contém detalhes sobre o controlador Salt (anteriormente chamado de mestre Salt), como seu ID de controlador Salt, a porta de publicação, a comportamento em cache e muito mais. |
|
Recursos do controlador Salt |
O controlador Salt é um nó central usado para emitir comandos a subordinados. |
|
Autenticação de metadados |
A interface AUTH é usada para gerenciar usuários, grupos e funções por meio da API RPC. |
Consulte rpc_auth ou entre em contato com um administrador para obter assistência. |
Recursos de subordinados |
Subordinados são nós que executam o serviço de subordinados e que podem ouvir comandos de um controlador Salt e executar as tarefas solicitadas. |
|
Pilar |
Pilares são estruturas de dados definidos no controlador Salt e transmitidas a um ou mais subordinados usando destinos. Eles permitem que dados confidenciais e direcionados sejam enviados com segurança apenas ao subordinado relevante. |
|
Dados de retornadores |
Retornadores recebem os dados que os subordinados retornam de trabalhos executados. Eles permitem que os resultados de um comando Salt sejam enviados a um determinado armazenamento de dados, como um banco de dados ou um arquivo de log, para arquivamento. |
|
Funções |
Funções são usadas para definir permissões para vários usuários que compartilham um conjunto comum de necessidades. |
|
Comandos de executores |
Um comando é uma ou mais tarefas executadas como parte de um trabalho. Cada comando inclui informações de destino, uma função e argumentos opcionais. Executores Salt são módulos usados para executar funções de conveniência no controlador Salt. |
|
Avaliação de conformidade |
Uma avaliação é uma instância de verificação de um conjunto de nós para um determinado conjunto de verificações de segurança, conforme especificado em uma política do SaltStack SecOps Compliance. |
SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária. |
Política de conformidade |
Políticas de conformidade são conjuntos de verificações de segurança, e especificações que determinam a quais nós cada verificação se aplica, no SaltStack SecOps Compliance. |
SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária. |
Remediação de conformidade |
Remediação é o ato de corrigir nós fora de conformidade no SaltStack SecOps Compliance. |
SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária. |
Ingestão de conteúdo de conformidade - SaltStack |
A ingestão de conteúdo do SaltStack SecOps Compliance serve para baixar ou atualizar a biblioteca de segurança do SaltStack SecOps Compliance. |
SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária. |
Ingestão de conteúdo de conformidade - Personalizado |
O conteúdo de conformidade personalizado permite que você defina seus próprios padrões de segurança para complementar a biblioteca de benchmarks de segurança e verificações incorporadas ao SaltStack SecOps Compliance. A ingestão de conteúdo personalizado serve para carregar verificações e benchmarks personalizados. |
SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária. |
Conteúdo personalizado de conformidade |
O conteúdo de conformidade personalizado permite que você defina seus próprios padrões de segurança para complementar a biblioteca de benchmarks de segurança e verificações incorporadas ao SaltStack SecOps Compliance. |
SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária. |
Agendamentos |
Agendamentos são usados para executar trabalhos em um horário predefinido ou em um intervalo específico. |
|
Comandos SSH |
Os comandos SSH (Secure Shell) são executados em subordinados que não têm o serviço de subordinados instalado. |
|
Grupos de destino |
Um destino é o grupo de subordinados, em um ou muitos controladores Salt, ao qual o comando Salt de um trabalho se aplica. Um controlador Salt também pode ser gerenciado como um subordinado, podendo ser um destino se estiver executando o serviço de subordinados. |
|
Usuários |
Usuários são indivíduos que têm uma conta do SaltStack Config na sua organização. |
|
Avaliação de vulnerabilidade |
Uma avaliação de vulnerabilidade é uma instância de verificação de um conjunto de nós em busca de vulnerabilidades como parte de uma política do SaltStack SecOps Vulnerability. |
SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária. |
Política de Vulnerabilidade |
Uma política de vulnerabilidade é formada por um destino e um agendamento de avaliação. O destino determina quais subordinados devem ser incluídos em uma avaliação, enquanto o agendamento determina quando as avaliações serão executadas. Uma política de segurança também armazena os resultados da avaliação mais recente no SaltStack SecOps Vulnerability. |
SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária. |
Remediação de vulnerabilidades |
Remediação é o ato de corrigir vulnerabilidades no SaltStack SecOps Vulnerability. |
SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária. |
Ingestão de conteúdo de vulnerabilidade |
O conteúdo do SaltStack SecOps Vulnerability é uma biblioteca de comunicados com base nas entradas mais recentes do sistema Common Vulnerabilities and Exposures (CVE). A ingestão de conteúdo do SaltStack SecOps Vulnerability serve para baixar a versão mais recente da biblioteca de conteúdo. |
SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária. |
Importação de fornecedores de vulnerabilidades |
O SaltStack SecOps Vulnerability oferece suporte à importação de verificações de segurança geradas por uma variedade de fornecedores de terceiros. Essa permissão permite que um usuário importe resultados de verificações de vulnerabilidades de um arquivo ou por meio de um conector. Por padrão, todos os usuários do SaltStack Config podem acessar o espaço de trabalho Conectores. No entanto, a permissão para executar a Importação de Fornecedores de Vulnerabilidades, bem como uma licença do SaltStack SecOps Vulnerability, são necessárias para que um usuário vulnerabilidades importe com êxito de um conector. |
Conectores, SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária. |
Comandos Wheel |
Comandos Wheel controlam como o controlador Salt opera e são usados para gerenciar chaves. |
Acesso a recursos na API
O acesso aos seguintes tipos de recursos deve ser definido usando a API (RaaS):
- Arquivos no servidor de arquivos
- Dados de pilares
- Configuração de autenticação
Todos os outros tipos de recursos (excluindo trabalhos, destinos e aqueles listados acima) não exigem uma configuração específica de acesso a recursos.