Com o sistema RBAC (controle de acesso baseado em função) do SaltStack Config, você pode definir configurações de permissão para vários usuários de uma só vez, pois as configurações de permissão de uma função aplicam-se a todos os usuários incluídos nessa função. Você pode definir essas configurações no espaço de trabalho Funções na interface do usuário.

Permissões de função são aditivas. Usuários atribuídos a várias funções recebem acesso a uma combinação de todos os itens concedidos por cada função. Isso ajuda a garantir que os usuários com conhecimentos semelhantes recebam as mesmas configurações de permissão e que os usuários com várias responsabilidades tenham acesso a todas as funções necessárias.

O SaltStack Config acompanha várias funções integradas que não podem ser excluídas. Além disso, você pode criar funções personalizadas para as necessidades exclusivas da sua organização. Consulte Funções e configurações padrão.

Para conceder uma permissão de função para concluir uma tarefa, você deve definir a tarefa permitida e também atribuir acesso a um recurso ou área funcional. Uma permissão é uma categoria ampla de ações permitidas, enquanto o acesso a recursos permite definir um recurso específico (por exemplo, um trabalho ou um destino) com base no qual a ação pode ser concluída. Consulte Diferença entre trabalhos permitidos e acesso a recursos.

O acesso a recursos para determinados tipos de recursos e áreas funcionais deve ser definido na API (RaaS), e não no Editor de funções. Consulte Acesso a recursos.

Criando uma função

Em alguns casos, clonar uma função pode ser mais conveniente do que criar uma nova. É possível clonar uma função existente e, em seguida, modificar o clone conforme necessário.

  1. Clique em Administração > Funções no menu lateral.
  2. Clique em Criar.
  3. Insira um novo nome para a sua função.
  4. Em Tarefas, selecione ações permitidas para conceder à função. Para obter uma descrição das trabalhos disponíveis, consulte Tarefas.
  5. Clique em Salvar.

    Você concluiu as etapas mínimas necessárias para criar uma função. Para obter mais informações sobre como definir as configurações da função, consulte Editando uma função.

Clonando uma função

  1. No espaço de trabalho Funções, selecione a função que você deseja clonar.
    Observação: Por motivos de segurança, a função de Superusuário integrada não pode ser clonada porque é um nome reservado.
  2. Clique em Clonar.
  3. Insira um novo nome para a sua função e clique em Salvar.

    Você concluiu as etapas mínimas necessárias para clonar uma função. Para obter mais informações sobre como definir as configurações da função, consulte Editando uma função.

    Observação: Funções clonadas herdam as tarefas permitidas da função original por padrão. Funções clonadas não herdam o acesso a recursos, que deve ser definido separadamente. Consulte Atribuindo acesso a um trabalho ou destino.

Editando uma função

  1. No espaço de trabalho Funções, selecione a função que você deseja editar.
  2. Selecione qualquer guia (Tarefas, Acesso a Recursos, Grupos ou Usuários) e edite as configurações da função conforme necessário.

    Para saber mais sobre como editar cada guia, consulte abaixo.

  3. Clique em Salvar depois de fazer alterações, antes de selecionar uma nova guia.
Observação: A descrição acima descreve como editar uma função usando o editor padrão. O SaltStack Config também inclui um editor avançado recomendado apenas para usuários avançados. Para obter mais informações sobre o editor avançado, consulte Permissões avançadas.

Definindo tarefas permitidas

  1. No espaço de trabalho Funções, selecione a função que você deseja editar.
  2. Em Tarefas, selecione tarefas permitidas para atribuir à função. Tarefas representam casos de uso comuns no SaltStack Config. A ativação de uma tarefa dá à função todas as permissões necessárias para concluir essa tarefa.

    Para obter descrições de trabalhos, consulte Tarefas.

  3. Clique em Salvar.
Observação: Além de atribuir uma permissão, você deve habilitar o acesso aos recursos específicos (como um trabalho ou destino) na qual a função executará a ação. Consulte Diferença entre trabalhos permitidos e acesso a recursos.

Atribuindo acesso a um trabalho ou destino

  1. No espaço de trabalho Funções, selecione a função que você deseja editar.
  2. Em Acesso a Recursos, localize o trabalho ou destino necessário e selecione o nível de acesso que você deseja fornecer. Por exemplo, para permitir que uma função execute trabalhos, selecione Leitura/Execução para esse trabalho.

    Se o recurso que você deseja selecionar não estiver sendo exibido, clique em Mostrar todos os Destinos ou Mostrar todos os Trabalhos, respectivamente.


    roles-show-jobs

    No SaltStack Config, tanto trabalhos quanto destinos são considerados diferentes tipos de recursos. Para obter mais informações sobre o acesso a recursos, consulte Acesso a Recursos.

  3. Clique em Salvar.
Observação: Além de atribuir acesso a recursos para um trabalho, você também deve atribuir acesso a um destino no qual o trabalho será executado e atribuir permissão para executar trabalhos. Consulte Diferença entre trabalhos permitidos e acesso a recursos.

Adicionando ou removendo grupos

  1. No espaço de trabalho Funções, selecione a função que você deseja editar.
  2. Em Grupos, selecione os grupos que você deseja incluir na função.

    Grupos são importados por meio de uma conexão com um serviço de diretório. Se você não vir o grupo que estava esperando, certifique-se de ter adicionado a conexão e sincronizado os grupos.

    Todos os grupos que você remove da conexão com o Serviço de Diretório são arquivados. Mesmo que estejam inativos e os usuários não consigam fazer login, eles ainda estão visíveis no espaço de trabalho Funções.

    Observação: Permissões de função são aditivas. Usuários em grupos atribuídos a várias funções recebem acesso a uma combinação de todos os itens concedidos por cada função.
  3. Clique em Salvar.

    Os grupos selecionados, incluindo todos os usuários desses grupos, agora recebem todas as tarefas permitidas e o acesso a recursos definidos nas configurações da função.

Adicionando ou removendo usuários

Os usuários herdam as configurações de permissão (por exemplo, atribuição a uma função) dos grupos aos quais eles pertencem. Uma prática recomendada é evitar adicionar usuários individuais a uma função, mas em vez disso adicioná-los a um grupo que pertença à função. Todos os novos usuários são incluídos na função Usuário por padrão. Consulte Funções e configurações padrão.

  1. No espaço de trabalho Funções, selecione a função que você deseja editar.
  2. Em Usuários, selecione os usuários que você deseja incluir na função.

    O espaço de trabalho Funções permite gerenciar configurações de usuários individuais incluídos em um grupo de Serviço de Diretório somente após o primeiro login do usuário. Para obter mais informações, consulte Autenticação com LDAP.

  3. Clique em Salvar.

Para obter mais informações

Os artigos a seguir fornecem informações mais detalhadas sobre conceitos relacionados ao RBAC para o SaltStack Config.