Em algumas situações, talvez seja necessário configurar permissões de função mais granulares, além das opções disponíveis na guia Tarefas no Editor de funções. A guia Avançado fornece um controle mais completo sobre os trabalhos que uma função pode concluir.

As etapas a seguir devem ser concluídas por um administrador Salt experiente que entenda sua infraestrutura geral.

Definindo permissões avançadas

  1. Clique em Administração > Funções no menu lateral. Em seguida, selecione a guia Avançado.
  2. Verifique se a função necessária está selecionada no painel lateral Funções.
  3. Marque ou desmarque as permissões conforme necessário, escolhendo entre Ler, Executar, Gravar ou Excluir para uma faixa de áreas funcionais.

    Consulte Itens para obter mais informações sobre os tipos de recursos e as áreas funcionais disponíveis.

    As permissões mínimas recomendadas para operações típicas dos usuários estão realçadas em azul, como mostra a figura a seguir.


    roles-advanced-blue-highlighting

    Essa figura mostra duas caixas mínimas recomendadas à esquerda, uma marcada e a outra desmarcada, em comparação com duas caixas normais à direita.

  4. Clique em Salvar.

Tipos de permissão

Permissão

Descrição

Ler

A função pode visualizar um determinado tipo de recurso ou área funcional. Por exemplo, se você atribuir a função ReadTargetGroups, a função poderá exibir os destinos especificados, bem como detalhes sobre cada destino.

Executar

A função pode executar um determinado tipo de operação. O tipo de operação permitido pode variar, por exemplo, você pode atribuir permissão para executar comandos arbitrários em subordinados ou executar comandos em controladores Salt.

Gravar

A função pode criar e editar um determinado tipo de recurso ou área funcional. Por exemplo, você pode atribuir WriteFileServer a uma função de usuário avançada, para que essa função possa criar ou editar arquivos no servidor de arquivos. Os usuários com acesso para Gravar podem editar os recursos que eles criaram, sem precisarem de uma configuração específica de acesso a recursos.

Excluir

A função pode excluir um determinado tipo de recurso ou outro item em uma determinada área funcional. Por exemplo, você pode atribuir DeletePillar a uma função para que ela possa excluir um pilar que não está mais em uso. Os usuários com a permissão para Excluir podem excluir recursos que eles criaram, sem precisarem de uma configuração específica de acesso a recursos.

Itens

Ao definir permissões para uma função no editor avançado, as ações acima podem ser aplicadas aos seguintes recursos ou áreas funcionais.

Tipo de recurso/Área funcional

Descrição

Consulte também

Todos os comandos de subordinados

Execute comandos no destino Todos os subordinados. O destino Todos os subordinados pode variar com base na combinação de subordinados que a função tem permissão para acessar.

Subordinados

Administrador

Concede privilégios administrativos somente na interface do usuário do SaltStack Config. Lembre-se de que isso não inclui acesso administrativo à API (RaaS). Como prática recomendada, tenha cuidado ao conceder esse nível de acesso a uma função.

Consulte Configurações padrão para funções integradas para ver uma explicação detalhada sobre os privilégios de usuários administrativos.

Log de Auditoria

O log de auditoria é um registro de todas as atividades no SaltStack Config que inclui detalhes das ações de cada usuário.

Consulte rpc_audit ou entre em contato com um administrador para obter assistência.

Comandos

Um comando é uma ou mais tarefas executadas como parte de um trabalho. Cada comando inclui informações de destino, uma função e argumentos opcionais.

Trabalhos

Servidor de Arquivos

O servidor de arquivos é um local para armazenar arquivos específicos do Salt, como arquivos "top" ou de estado, além de arquivos que podem ser distribuídos para subordinados, como arquivos de configuração do sistema.

Servidor de Arquivos

Grupos

Grupos são conjuntos de usuários que compartilham características comuns e precisam de configurações de acesso de usuário semelhantes.

Funções e permissões

Trabalhos

Trabalhos são usados para executar tarefas de execução remota, aplicar estados e iniciar executores Salt.

Trabalhos

Licença

Sua licença inclui snapshots de uso, além de detalhes como número de controladores Salt e subordinados licenciados para a sua instalação e a data de expiração da licença.

Consulte rpc_license ou entre em contato com um administrador para obter assistência.

Configuração do controlador Salt

O arquivo de configuração do controlador Salt contém detalhes sobre o controlador Salt (anteriormente chamado de mestre Salt), como seu ID de controlador Salt, a porta de publicação, a comportamento em cache e muito mais.

Referência de configuração do mestre Salt

Recursos do controlador Salt

O controlador Salt é um nó central usado para emitir comandos a subordinados.

Referência do mestre Salt

Autenticação de metadados

A interface AUTH é usada para gerenciar usuários, grupos e funções por meio da API RPC.

Consulte rpc_auth ou entre em contato com um administrador para obter assistência.

Recursos de subordinados

Subordinados são nós que executam o serviço de subordinados e que podem ouvir comandos de um controlador Salt e executar as tarefas solicitadas.

Subordinados

Pilar

Pilares são estruturas de dados definidos no controlador Salt e transmitidas a um ou mais subordinados usando destinos. Eles permitem que dados confidenciais e direcionados sejam enviados com segurança apenas ao subordinado relevante.

Pilares

Dados de retornadores

Retornadores recebem os dados que os subordinados retornam de trabalhos executados. Eles permitem que os resultados de um comando Salt sejam enviados a um determinado armazenamento de dados, como um banco de dados ou um arquivo de log, para arquivamento.

Referência de retornadores

Funções

Funções são usadas para definir permissões para vários usuários que compartilham um conjunto comum de necessidades.

Funções e permissões

Comandos de executores

Um comando é uma ou mais tarefas executadas como parte de um trabalho. Cada comando inclui informações de destino, uma função e argumentos opcionais. Executores Salt são módulos usados para executar funções de conveniência no controlador Salt.

Trabalhos

Avaliação de conformidade

Uma avaliação é uma instância de verificação de um conjunto de nós para um determinado conjunto de verificações de segurança, conforme especificado em uma política do SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária.

Política de conformidade

Políticas de conformidade são conjuntos de verificações de segurança, e especificações que determinam a quais nós cada verificação se aplica, no SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária.

Remediação de conformidade

Remediação é o ato de corrigir nós fora de conformidade no SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária.

Ingestão de conteúdo de conformidade - SaltStack

A ingestão de conteúdo do SaltStack SecOps Compliance serve para baixar ou atualizar a biblioteca de segurança do SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária.

Ingestão de conteúdo de conformidade - Personalizado

O conteúdo de conformidade personalizado permite que você defina seus próprios padrões de segurança para complementar a biblioteca de benchmarks de segurança e verificações incorporadas ao SaltStack SecOps Compliance. A ingestão de conteúdo personalizado serve para carregar verificações e benchmarks personalizados.

SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária.

Conteúdo personalizado de conformidade

O conteúdo de conformidade personalizado permite que você defina seus próprios padrões de segurança para complementar a biblioteca de benchmarks de segurança e verificações incorporadas ao SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Observação: Uma licença do SaltStack SecOps é necessária.

Agendamentos

Agendamentos são usados para executar trabalhos em um horário predefinido ou em um intervalo específico.

Agendamentos

Comandos SSH

Os comandos SSH (Secure Shell) são executados em subordinados que não têm o serviço de subordinados instalado.

Referência SSH do Salt

Grupos de destino

Um destino é o grupo de subordinados, em um ou muitos controladores Salt, ao qual o comando Salt de um trabalho se aplica. Um controlador Salt também pode ser gerenciado como um subordinado, podendo ser um destino se estiver executando o serviço de subordinados.

Subordinados

Usuários

Usuários são indivíduos que têm uma conta do SaltStack Config na sua organização.

Funções e permissões

Avaliação de vulnerabilidade

Uma avaliação de vulnerabilidade é uma instância de verificação de um conjunto de nós em busca de vulnerabilidades como parte de uma política do SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária.

Política de Vulnerabilidade

Uma política de vulnerabilidade é formada por um destino e um agendamento de avaliação. O destino determina quais subordinados devem ser incluídos em uma avaliação, enquanto o agendamento determina quando as avaliações serão executadas. Uma política de segurança também armazena os resultados da avaliação mais recente no SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária.

Remediação de vulnerabilidades

Remediação é o ato de corrigir vulnerabilidades no SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária.

Ingestão de conteúdo de vulnerabilidade

O conteúdo do SaltStack SecOps Vulnerability é uma biblioteca de comunicados com base nas entradas mais recentes do sistema Common Vulnerabilities and Exposures (CVE). A ingestão de conteúdo do SaltStack SecOps Vulnerability serve para baixar a versão mais recente da biblioteca de conteúdo.

SaltStack SecOps Vulnerability - Observação: Uma licença do SaltStack SecOps é necessária.

Importação de fornecedores de vulnerabilidades

O SaltStack SecOps Vulnerability oferece suporte à importação de verificações de segurança geradas por uma variedade de fornecedores de terceiros. Essa permissão permite que um usuário importe resultados de verificações de vulnerabilidades de um arquivo ou por meio de um conector.

Por padrão, todos os usuários do SaltStack Config podem acessar o espaço de trabalho Conectores. No entanto, a permissão para executar a Importação de Fornecedores de Vulnerabilidades, bem como uma licença do SaltStack SecOps Vulnerability, são necessárias para que um usuário vulnerabilidades importe com êxito de um conector.

Conectores, SaltStack SecOps Vulnerability - Observação: uma licença do SaltStack SecOps é necessária.

Comandos Wheel

Comandos Wheel controlam como o controlador Salt opera e são usados para gerenciar chaves.

Referência de Wheels do Salt

Acesso a recursos na API

O acesso aos seguintes tipos de recursos deve ser definido usando a API (RaaS):

  • Arquivos no servidor de arquivos
  • Dados de pilares
  • Configuração de autenticação

Todos os outros tipos de recursos (excluindo trabalhos, destinos e aqueles listados acima) não exigem uma configuração específica de acesso a recursos.