在某些情况下,除了通过“角色”编辑器中的“任务”选项卡访问的选项外,您可能还需要配置更精细的角色权限。通过“高级”选项卡,可以更全面地控制角色可以完成的任务。

以下步骤应由了解整个基础架构的经验丰富的 Salt 管理员完成。

定义高级权限

  1. 单击侧边菜单上的管理 > 角色。然后,选择高级选项卡。
  2. 确保在角色侧边面板中选择所需角色。
  3. 根据需要选择或取消选择权限,针对一系列功能区选择读取、运行、写入或删除。

    有关可用资源类型和功能区的详细信息,请参见项目

    对于典型用户操作,建议的最小权限以蓝色突出显示,如下图所示。


    高级角色以蓝色突出显示

    此图在左侧显示了两个建议的最小权限框(一个已选中,另一个未选中),而在右侧显示了两个普通框。

  4. 单击保存

权限类型

权限

说明

读取

角色可以查看给定类型的资源或功能区域。例如,如果为角色分配 ReadTargetGroups,则该角色可以查看您指定的目标,以及有关每个目标的详细信息。

运行

角色可以运行给定类型的操作。允许的操作类型可能有所不同,例如,您可以分配在工作节点上运行任意命令的权限或在 Salt 控制器上运行命令的权限。

写入

角色可以创建和编辑给定类型的资源或功能区域。例如,您可以将 WriteFileServer 分配给高级用户角色,以便该角色可以在文件服务器中创建或编辑文件。具有写入访问权限的用户可以编辑自己创建的资源,而无需任何特定的资源访问设置。

删除

角色可以删除给定功能区域中的给定类型资源或其他项目。例如,您可以将 DeletePillar 分配给某个角色,以便该角色可以删除不再使用的 pillar。具有删除权限的用户可以删除自己创建的资源,而无需任何特定的资源访问设置。

项目

在高级编辑器中设置角色权限时,上述操作会应用于以下资源或功能区。

资源类型/功能区域

说明

另请参见

所有工作节点命令

在“所有工作节点”目标上运行命令。“所有工作节点”目标可能会因角色有权访问的工作节点组合而异。

工作节点

管理

仅在 SaltStack Config 用户界面中授予管理特权。请注意,这不包括对 API (RaaS) 的管理访问权限。最佳做法是,为角色授予此级别的访问权限时要谨慎。

有关管理员用户特权的详细说明,请参见内置的角色默认设置

审核日志

审核日志是 SaltStack Config 中所有活动的记录,包括每个用户操作的详细信息。

如需帮助,请参见 rpc_audit 或联系管理员。

命令

命令是作为作业的一部分执行的一个或多个任务。每个命令包括目标信息、函数和可选参数。

作业

文件服务器

文件服务器是存储 Salt 特定文件(如 top 文件或状态文件)以及可分发到工作节点的文件(如系统配置文件)的位置。

文件服务器

组是具有共同特征且需要类似用户访问设置的用户的集合。

角色和权限

作业

作业用于运行远程执行任务、应用状态和启动 Salt 运行程序。

作业

许可证

许可证包括使用情况快照,以及详细信息,例如针对您的安装授予许可的 Salt 控制器和工作节点数量以及许可证过期时间等。

如需帮助,请参见 rpc_license 或联系管理员。

Salt 控制器配置

Salt 控制器配置文件包含有关 Salt 控制器(以前称为 Salt 主节点)的详细信息,例如其 Salt 控制器 ID、发布端口、缓存行为等。

Salt 主节点配置参考

Salt 控制器资源

Salt 控制器是一个中央节点,用于向工作节点发出命令。

Salt 主节点参考

元数据身份验证

身份验证界面用于通过 RPC API 管理用户、组和角色。

如需帮助,请参见 rpc_auth 或联系管理员。

工作节点资源

工作节点是运行工作节点服务的节点,可以侦听 Salt 控制器发出的命令并执行请求的任务。

工作节点

Pillar

Pillar 是在 Salt 控制器上定义的数据结构,并使用目标传递到一个或多个工作节点。它们仅允许将机密的目标数据安全地发送到相关工作节点。

Pillar

返回程序数据

返回程序接收从执行的作业返回的数据工作节点。它们允许将 Salt 命令的结果发送到给定数据存储(例如数据库或日志文件)以进行存档。

返回程序参考

角色

角色用于为具有一组共同需求的多个用户定义权限。

角色和权限

运行程序命令

命令是作为作业的一部分执行的一个或多个任务。每个命令包括目标信息、函数和可选参数。Salt 运行程序是用于在 Salt 控制器上执行便捷函数的模块。

作业

合规性评估

评估是按照 SaltStack SecOps Compliance 策略中指定的一组给定安全检查对一组节点进行检查的实例。

SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。

合规策略

合规策略是 SaltStack SecOps Compliance 中的安全检查以及对节点应用每项检查所依据的规范的集合。

SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。

合规性修复

修复是更正 SaltStack SecOps Compliance 中不合规节点的措施。

SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。

合规性内容摄取 - SaltStack

摄取 SaltStack SecOps Compliance 内容就是下载或更新 SaltStack SecOps Compliance 安全库。

SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。

合规性内容摄取 - 自定义

通过自定义合规性内容,可以定义自己的安全标准,用于补充 SaltStack SecOps Compliance 中内置的安全基准和检查库。摄取自定义内容就是上载自定义检查和基准。

SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。

合规性自定义内容

通过自定义合规性内容,可以定义自己的安全标准,用于补充 SaltStack SecOps Compliance 中内置的安全基准和检查库。

SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。

调度

调度用于在预定义的时间或按特定的时间间隔运行作业。

调度

SSH 命令

安全 Shell (SSH) 命令在未安装工作节点服务的工作节点上运行。

Salt SSH 参考

目标组

目标是一个或多个 Salt 控制器中的一组工作节点,会对其应用作业的 Salt 命令。Salt 控制器也可以像工作节点一样进行管理,如果正在运行工作节点服务,也可以成为目标。

工作节点

用户

用户是在您的组织中具有 SaltStack Config 帐户的个人。

角色和权限

漏洞评估

漏洞评估是作为 SaltStack SecOps Vulnerability 策略的一部分扫描一组节点以确定是否存在漏洞的实例。

SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。

漏洞策略

漏洞策略由目标和评估调度组成。目标确定要包括在评估中的工作节点,而调度确定何时运行评估。安全策略还会将最近评估的结果存储在 SaltStack SecOps Vulnerability 中。

SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。

漏洞修复

修复是修补 SaltStack SecOps Vulnerability 中漏洞的措施。

SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。

漏洞内容摄取

SaltStack SecOps Vulnerability 内容是基于最新常见漏洞与暴露 (CVE) 条目的公告库。摄取 SaltStack SecOps Vulnerability 内容就是下载最新版本的内容库。

SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。

漏洞供应商导入

SaltStack SecOps Vulnerability 支持导入各种第三方供应商生成的安全扫描。此权限允许用户从文件或通过连接器导入漏洞扫描结果。

默认情况下,所有 SaltStack Config 用户都可以访问“连接器”工作区。但是,用户需要具有运行漏洞供应商导入的权限以及 SaltStack SecOps Vulnerability 许可证才能成功从连接器导入漏洞。

连接器、SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。

Wheel 命令

Wheel 命令控制 Salt 控制器的运行方式,并用于管理密钥。

Salt Wheel 参考

API 中的资源访问

必须使用 API (RaaS) 定义对以下资源类型的访问:

  • 文件服务器中的文件
  • Pillar 数据
  • 身份验证配置

所有其他资源类型(不包括作业、目标和上面列出的资源类型)不需要任何特定的资源访问设置。