SaltStack Config 附带许多无法删除的内置角色。此外,还提供了一些工具,用于根据自己的独特需求创建自定义角色。
内置角色
SaltStack Config 包括以下内置角色:
- 用户 - 分配给所有新本地用户、SSO 和 LDAP 用户的默认角色。用户角色包含执行许多基本功能所需的基本权限,如读取访问权限。分配有此角色的用户可以查看和运行作业,还可以查看某些工作节点和作业类型的作业历史记录、作业返回数据以及报告,但仅限于角色的资源访问设置。
- 管理员 - 此角色需要访问比用户角色更高级的工具,因此可以访问“系统管理”。管理员可以查看(在某些情况下,还可以编辑)用户设置和 pillar 中的敏感数据。该角色可以创建、更新和删除文件、作业和目标等资源。管理员还可以在配置新节点时根据需要管理密钥。
- 超级用户 - 超级用户可以在 SaltStack Config 中执行任何操作,包括访问“系统管理”。
root
分配为超级用户角色。无法删除或克隆该角色。您可以向角色添加任何组或用户,但不能修改任何角色的其他设置。仅应在超级用户角色中添加高级用户,因为可以有效地绕过权限限制。
自定义角色
为补充 SaltStack Config 的内置角色,可以创建自定义角色。自定义角色可帮助您根据组织需求为不同的个人资料定义更有针对性的资源访问权限。例如,可以为负责管理 CentOS 节点的用户创建 CentOS 管理员角色,为负责 RedHat 节点的用户创建 RedHat 管理员角色。
用户
资源类型/功能区域 | 读取 | 运行 | 写入 | 删除 |
---|---|---|---|---|
后台作业 | X | |||
命令 | X | |||
文件服务器 | X | |||
作业 | X | X | ||
许可证 | X | |||
Salt 控制器配置 | X | |||
Salt 控制器文件服务器 | X | |||
Salt 控制器 | X | |||
元数据身份验证 | X | |||
工作节点 | X | |||
返回程序 | X | |||
调度 | X | X | X | |
SaltStack SecOps Compliance 策略注意:需要许可证 | X | |||
SaltStack SecOps Vulnerability 策略注意:需要 SaltStack SecOps Vulnerability 许可证 | X | |||
目标 | X | |||
所有工作节点命令 | X |
管理员
资源类型/功能区域 | 读取 | 运行 | 写入 | 删除 |
---|---|---|---|---|
后台作业 | X | |||
命令 | X | X | X | |
运行程序命令 | X | |||
SSH 命令 | X | X | X | X |
Wheel 命令 | X | |||
文件服务器 | X | X | X | |
作业 | X | X | X | X |
许可证 | X | |||
元数据身份验证 | X | X | ||
工作节点 | X | X | ||
Pillar | X | X | X | |
返回程序 | X | X | ||
角色 | X | X | X | |
调度 | X | X | X | |
SaltStack SecOps Compliance 策略注意:需要 SaltStack SecOps 许可证 | X | |||
SaltStack SecOps Vulnerability 策略注意:需要 SaltStack SecOps 许可证 | X | |||
目标 | X | X | X | |
所有工作节点命令 | X | |||
用户 | X | X | X |
超级用户
超级用户角色可以在 SaltStack Config 中执行任何操作。