在某些情况下,除了通过“角色”编辑器中的“任务”选项卡访问的选项外,您可能还需要配置更精细的角色权限。通过“高级”选项卡,可以更全面地控制角色可以完成的任务。
以下步骤应由了解整个基础架构的经验丰富的 Salt 管理员完成。
定义高级权限
- 单击侧边菜单上的管理 > 角色。然后,选择高级选项卡。
- 确保在角色侧边面板中选择所需角色。
- 根据需要选择或取消选择权限,针对一系列功能区选择读取、运行、写入或删除。
有关可用资源类型和功能区的详细信息,请参见项目。
对于典型用户操作,建议的最小权限以蓝色突出显示,如下图所示。
此图在左侧显示了两个建议的最小权限框(一个已选中,另一个未选中),而在右侧显示了两个普通框。
- 单击保存。
权限类型
| 权限 |
说明 |
|---|---|
| 读取 |
角色可以查看给定类型的资源或功能区域。例如,如果为角色分配 |
| 运行 |
角色可以运行给定类型的操作。允许的操作类型可能有所不同,例如,您可以分配在工作节点上运行任意命令的权限或在 Salt 控制器上运行命令的权限。 |
| 写入 |
角色可以创建和编辑给定类型的资源或功能区域。例如,您可以将 |
| 删除 |
角色可以删除给定功能区域中的给定类型资源或其他项目。例如,您可以将 |
项目
在高级编辑器中设置角色权限时,上述操作会应用于以下资源或功能区。
| 资源类型/功能区域 |
说明 |
另请参见 |
|---|---|---|
| 所有工作节点命令 |
在“所有工作节点”目标上运行命令。“所有工作节点”目标可能会因角色有权访问的工作节点组合而异。 |
|
| 管理 |
仅在 SaltStack Config 用户界面中授予管理特权。请注意,这不包括对 API (RaaS) 的管理访问权限。最佳做法是,为角色授予此级别的访问权限时要谨慎。 |
有关管理员用户特权的详细说明,请参见内置的角色默认设置。 |
| 审核日志 |
审核日志是 SaltStack Config 中所有活动的记录,包括每个用户操作的详细信息。 |
如需帮助,请参见 rpc_audit 或联系管理员。 |
| 命令 |
命令是作为作业的一部分执行的一个或多个任务。每个命令包括目标信息、函数和可选参数。 |
|
| 文件服务器 |
文件服务器是存储 Salt 特定文件(如 top 文件或状态文件)以及可分发到工作节点的文件(如系统配置文件)的位置。 |
|
| 组 |
组是具有共同特征且需要类似用户访问设置的用户的集合。 |
|
| 作业 |
作业用于运行远程执行任务、应用状态和启动 Salt 运行程序。 |
|
| 许可证 |
许可证包括使用情况快照,以及详细信息,例如针对您的安装授予许可的 Salt 控制器和工作节点数量以及许可证过期时间等。 |
如需帮助,请参见 rpc_license 或联系管理员。 |
| Salt 控制器配置 |
Salt 控制器配置文件包含有关 Salt 控制器(以前称为 Salt 主节点)的详细信息,例如其 Salt 控制器 ID、发布端口、缓存行为等。 |
|
| Salt 控制器资源 |
Salt 控制器是一个中央节点,用于向工作节点发出命令。 |
|
| 元数据身份验证 |
身份验证界面用于通过 RPC API 管理用户、组和角色。 |
如需帮助,请参见 rpc_auth 或联系管理员。 |
| 工作节点资源 |
工作节点是运行工作节点服务的节点,可以侦听 Salt 控制器发出的命令并执行请求的任务。 |
|
| Pillar |
Pillar 是在 Salt 控制器上定义的数据结构,并使用目标传递到一个或多个工作节点。它们仅允许将机密的目标数据安全地发送到相关工作节点。 |
|
| 返回程序数据 |
返回程序接收从执行的作业返回的数据工作节点。它们允许将 Salt 命令的结果发送到给定数据存储(例如数据库或日志文件)以进行存档。 |
|
| 角色 |
角色用于为具有一组共同需求的多个用户定义权限。 |
|
| 运行程序命令 |
命令是作为作业的一部分执行的一个或多个任务。每个命令包括目标信息、函数和可选参数。Salt 运行程序是用于在 Salt 控制器上执行便捷函数的模块。 |
|
| 合规性评估 |
评估是按照 SaltStack SecOps Compliance 策略中指定的一组给定安全检查对一组节点进行检查的实例。 |
SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。 |
| 合规策略 |
合规策略是 SaltStack SecOps Compliance 中的安全检查以及对节点应用每项检查所依据的规范的集合。 |
SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。 |
| 合规性修复 |
修复是更正 SaltStack SecOps Compliance 中不合规节点的措施。 |
SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。 |
| 合规性内容摄取 - SaltStack |
摄取 SaltStack SecOps Compliance 内容就是下载或更新 SaltStack SecOps Compliance 安全库。 |
SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。 |
| 合规性内容摄取 - 自定义 |
通过自定义合规性内容,可以定义自己的安全标准,用于补充 SaltStack SecOps Compliance 中内置的安全基准和检查库。摄取自定义内容就是上载自定义检查和基准。 |
SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。 |
| 合规性自定义内容 |
通过自定义合规性内容,可以定义自己的安全标准,用于补充 SaltStack SecOps Compliance 中内置的安全基准和检查库。 |
SaltStack SecOps Compliance - 注意:需要 SaltStack SecOps 许可证。 |
| 调度 |
调度用于在预定义的时间或按特定的时间间隔运行作业。 |
|
| SSH 命令 |
安全 Shell (SSH) 命令在未安装工作节点服务的工作节点上运行。 |
|
| 目标组 |
目标是一个或多个 Salt 控制器中的一组工作节点,会对其应用作业的 Salt 命令。Salt 控制器也可以像工作节点一样进行管理,如果正在运行工作节点服务,也可以成为目标。 |
|
| 用户 |
用户是在您的组织中具有 SaltStack Config 帐户的个人。 |
|
| 漏洞评估 |
漏洞评估是作为 SaltStack SecOps Vulnerability 策略的一部分扫描一组节点以确定是否存在漏洞的实例。 |
SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。 |
| 漏洞策略 |
漏洞策略由目标和评估调度组成。目标确定要包括在评估中的工作节点,而调度确定何时运行评估。安全策略还会将最近评估的结果存储在 SaltStack SecOps Vulnerability 中。 |
SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。 |
| 漏洞修复 |
修复是修补 SaltStack SecOps Vulnerability 中漏洞的措施。 |
SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。 |
| 漏洞内容摄取 |
SaltStack SecOps Vulnerability 内容是基于最新常见漏洞与暴露 (CVE) 条目的公告库。摄取 SaltStack SecOps Vulnerability 内容就是下载最新版本的内容库。 |
SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。 |
| 漏洞供应商导入 |
SaltStack SecOps Vulnerability 支持导入各种第三方供应商生成的安全扫描。此权限允许用户从文件或通过连接器导入漏洞扫描结果。 默认情况下,所有 SaltStack Config 用户都可以访问“连接器”工作区。但是,用户需要具有运行漏洞供应商导入的权限以及 SaltStack SecOps Vulnerability 许可证才能成功从连接器导入漏洞。 |
连接器、SaltStack SecOps Vulnerability - 注意:需要 SaltStack SecOps 许可证。 |
| Wheel 命令 |
Wheel 命令控制 Salt 控制器的运行方式,并用于管理密钥。 |
API 中的资源访问
必须使用 API (RaaS) 定义对以下资源类型的访问:
- 文件服务器中的文件
- Pillar 数据
- 身份验证配置
所有其他资源类型(不包括作业、目标和上面列出的资源类型)不需要任何特定的资源访问设置。
