Erweiterte Berechtigungen und Elementtypen

In bestimmten Situationen müssen Sie möglicherweise detailliertere Rollenberechtigungen konfigurieren, die über die Optionen hinausgehen, die auf der Registerkarte Aufgaben im Editor Rollen verfügbar sind. Die Registerkarte „Erweitert“ bietet genauere Kontrolle über die Aufgaben, die von einer Rolle durchgeführt werden können.

Berechtigungstypen


Berechtigung	Beschreibung
Lesen	Rolle kann einen bestimmten Ressourcentyp oder Funktionsbereich anzeigen. Wenn Sie beispielsweise die Rolle `ReadTargetGroups` zuweisen, kann die Rolle die von Ihnen angegebenen Ziele sowie Details zu jedem Ziel anzeigen.
Ausführen	Rolle kann einen bestimmten Vorgangstyp ausführen. Der zulässige Vorgangstyp kann variieren. Sie können beispielsweise Berechtigungen zum Ausführen beliebiger Befehle auf Minions oder Berechtigungen zum Ausführen von Befehlen auf Salt-Controllern zuweisen.
Schreiben	Die Rolle kann einen bestimmten Ressourcentyp oder Funktionsbereich erstellen und bearbeiten. Sie können `WriteFileServer` beispielsweise zu einer erweiterten Benutzerrolle zuweisen, sodass die Rolle Dateien auf dem Dateiserver erstellen oder bearbeiten kann. Benutzer mit Schreibzugriff können von ihnen erstellte Ressourcen bearbeiten, ohne dass bestimmte Einstellungen für den Ressourcenzugriff benötigt werden.
Löschen	Die Rolle kann einen bestimmten Ressourcentyp oder ein anderes Element in einem bestimmten Funktionsbereich löschen. Sie können `DeletePillar` beispielsweise zu einer Rolle zuweisen, damit die Rolle einen nicht mehr verwendeten Pfeiler löschen kann. Benutzer mit einer Löschberechtigung können von ihnen erstellte Ressourcen löschen, ohne dass bestimmte Einstellungen für den Ressourcenzugriff benötigt werden.

Elemente

Beim Festlegen von Berechtigungen für eine Rolle im erweiterten Editor können die oben genannten Aktionen auf die folgenden Ressourcen oder Funktionsbereiche angewendet werden.


Ressourcentyp/Funktionsbereich	Beschreibung	Weitere Informationen
Alle Minions-Befehle	Führen Sie Befehle im Ziel „Alle Minions“ aus. Das Ziel „Alle Minions“ kann basierend auf der Kombination von Minions variieren, auf die die Rolle zugreifen kann.
Admin	Gewährt Administratorrechte ausschließlich auf der Automation Config-Benutzeroberfläche. Beachten Sie, dass hiermit kein administrativer Zugriff auf die API (RaaS) erteilt wird. Wir empfehlen, beim Erteilen dieser Zugriffsebene für eine Rolle Vorsicht walten zu lassen.	Vorgehensweise zum Definieren von Benutzerrollen
Überwachungsprotokoll	Das Überwachungsprotokoll enthält eine Aufzeichnung aller Aktivitäten in Automation Config, einschließlich Details zu den Aktionen jedes Benutzers.	Weitere Informationen finden Sie unter „rpc_audit“ oder wenden Sie sich an einen Administrator.
Befehle	Bei einem Befehl handelt es sich um die Aufgabe (oder Aufgaben), die als Teil eines Auftrags ausgeführt wird. Jeder Befehl enthält Zielinformationen, eine Funktion und optionale Argumente.	Aufträge
Dateiserver	Auf dem Dateiserver können Salt-spezifische Dateien, wie z. B. Top- oder Statusdateien, und Dateien gespeichert werden, die an Minions verteilt werden können, wie z. B. Systemkonfigurationsdateien.	Dateiserver
Gruppen	Gruppen sind Sammlungen von Benutzern mit gemeinsamen Merkmalen, die ähnliche Benutzerzugriffseinstellungen benötigen.	Vorgehensweise zum Definieren von Benutzerrollen
Aufträge	Aufträge werden verwendet, um Remoteausführungsaufgaben auszuführen, Zustände anzuwenden und Salt-Runner zu starten.	Aufträge
Lizenz	Ihre Lizenz umfasst Nutzungs-Snapshots und Details, wie z. B. die Anzahl der für Ihre Installation lizenzierten Salt-Controller und -Minions sowie den Zeitpunkt des Lizenzablaufs.	Weitere Informationen finden Sie unter „rpc_license“ oder wenden Sie sich an einen Administrator.
Konfiguration des Salt-Controllers	Die Konfigurationsdatei des Salt-Controllers enthält Informationen zum Salt-Controller (ehemals Salt-Master), wie z. B. die ID des Salt-Controllers, den Veröffentlichungsport, das Caching-Verhalten usw.	Salt-Master-Konfigurationsreferenz
Ressourcen des Salt-Controllers	Der Salt-Controller ist ein zentraler Knoten, der zur Ausgabe von Befehlen an Minions verwendet wird.	Salt-Master-Referenz
Metadatenauthentifizierung	Die AUTH-Schnittstelle wird für die Verwaltung von Benutzern, Gruppen und Rollen über die RPC-API verwendet.	Weitere Informationen finden Sie unter „rpc_auth“ oder wenden Sie sich an einen Administrator.
Minion-Ressourcen	Bei Minions handelt es sich um Knoten, die den Minion-Dienst ausführen. Dieser Dienst kann Befehle eines Salt-Controllers befolgen und die erforderlichen Aufgaben durchführen.
Pfeiler	Bei Pfeilern handelt es sich um Datenstrukturen, die auf dem Salt-Controller definiert sind und mithilfe von Zielen an ein oder mehrere Minions übergeben werden. Sie ermöglichen das ausschließliche Senden vertraulicher, gezielter Daten an das entsprechende Minion.	Vorgehensweise zum Erstellen von Statusdateien und Pfeilerdaten
Returner-Daten	Returner empfangen die Daten-Minions, die aus ausgeführten Aufträgen zurückgegeben werden. Sie ermöglichen, dass die Ergebnisse eines Salt-Befehls an einen bestimmten Datenspeicher gesendet werden, z. B. an eine Datenbank oder Protokolldatei für die Archivierung.	Returner-Referenz
Rollen	Rollen werden verwendet, um Berechtigungen für mehrere Benutzer mit gemeinsamen Anforderungen zu definieren.	Vorgehensweise zum Definieren von Benutzerrollen
Runner-Befehle	Bei einem Befehl handelt es sich um die Aufgabe (oder Aufgaben), die als Teil eines Auftrags ausgeführt wird. Jeder Befehl enthält Zielinformationen, eine Funktion und optionale Argumente. Salt-Runner sind Module, die zum Ausführen von Funktionen zur vereinfachten Handhabung auf dem Salt-Controller verwendet werden.	Aufträge
Konformitätsbewertung	Bei einer Bewertung handelt es sich um eine Instanz zur Überprüfung einer Knotensammlung für einen bestimmten Satz an Sicherheitsprüfungen, die in einer Automation for Secure Hosts Compliance Cloud-Richtlinie festgelegt sind.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Konformitätsrichtlinie	Konformitätsrichtlinien bestehen aus Sammlungen von Sicherheitsprüfungen und Spezifikationen für die Knoten, für die die entsprechende Prüfung in Automation for Secure Hosts Compliance Cloud gilt.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Konformitätsstandardisierung	Bei der Standardisierung werden nicht kompatible Knoten in Automation for Secure Hosts Compliance Cloud korrigiert.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Erfassung von Konformitätsinhalten – Automation Config	Die Erfassung von Automation for Secure Hosts Compliance Cloud-Inhalten besteht im Herunterladen oder Aktualisieren der Automation for Secure Hosts Compliance Cloud-Sicherheitsbibliothek.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Erfassung von Konformitätsinhalten – Benutzerdefiniert	Mit benutzerdefinierten Konformitätsinhalten können Sie eigene Sicherheitsstandards definieren, um die in Automation for Secure Hosts Compliance Cloud integrierte Bibliothek der Sicherheits-Benchmarks und -prüfungen zu ergänzen. Die Erfassung benutzerdefinierter Inhalte besteht im Hochladen benutzerdefinierter Prüfungen und Benchmarks.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Benutzerdefinierte Konformitätsinhalte	Mit benutzerdefinierten Konformitätsinhalten können Sie eigene Sicherheitsstandards definieren, um die in Automation for Secure Hosts Compliance Cloud integrierte Bibliothek der Sicherheits-Benchmarks und -prüfungen zu ergänzen.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Zeitpläne	Zeitpläne werden zum Ausführen von Aufträgen zu einem vordefinierten Zeitpunkt oder in einem bestimmten Intervall verwendet.	Aufträge
SSH-Befehle	SSH-Befehle (Secure Shell) werden in Minions ausgeführt, in denen der Minion-Dienst nicht installiert ist.	Salt SSH-Referenz
Zielgruppen	Ein Ziel ist die Gruppe von Minions auf mindestens einem Salt-Controller, auf den der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Controller kann auch wie ein Minion verwaltet werden und als Ziel fungieren, wenn er den Minion-Dienst ausgeführt.	Verwenden des Arbeitsbereichs „Ziele“
Benutzer	Benutzer sind Personen, die über ein Automation Config-Konto bei Ihrer Organisation verfügen.	Vorgehensweise zum Definieren von Benutzerrollen
Schwachstellenbewertung	Bei einer Schwachstellenbewertung handelt es sich um eine Instanz zur Überprüfung einer Knotensammlung für Schwachstellen im Rahmen einer Automation for Secure Hosts Vulnerability Cloud-Richtlinie.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Schwachstellenrichtlinie	Eine Schwachstellenrichtlinie besteht aus einem Ziel und einem Bewertungszeitplan. Das Ziel bestimmt die Minions, die bei einer Bewertung berücksichtigt werden sollen, während im Zeitplan der Ausführungszeitpunkt der Bewertungen festgelegt wird. In einer Sicherheitsrichtlinie werden auch die Ergebnisse der aktuellen Bewertung in Automation for Secure Hosts Vulnerability Cloud gespeichert.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich
Schwachstellenstandardisierung	Bei der Standardisierung werden Schwachstellen in Automation for Secure Hosts Vulnerability Cloud gepatcht.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Erfassung von Schwachstelleninhalten	Bei Automation for Secure Hosts Vulnerability Cloud-Inhalten handelt es sich um eine Bibliothek mit Empfehlungen, die auf den aktuellen CVE-Einträgen (Common Vulnerabilities and Exposures) basieren. Bei der Erfassung von Automation for Secure Hosts Vulnerability Cloud-Inhalten wird die aktuelle Version der Inhaltsbibliothek heruntergeladen.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Import von Schwachstellenanbietern	Automation for Secure Hosts Vulnerability Cloud unterstützt den Import von Sicherheitsprüfungen, die von einer Vielzahl von Drittanbietern erzeugt werden. Mit dieser Berechtigung kann ein Benutzer die Ergebnisse der Schwachstellenüberprüfung aus einer Datei oder über einen Konnektor importieren. Standardmäßig können alle Automation Config-Benutzer auf den Arbeitsbereich „Konnektoren“ zugreifen. Allerdings sind die Berechtigung zum Importieren von Schwachstellenanbietern sowie eine Automation for Secure Hosts Vulnerability Cloud-Lizenz erforderlich, damit ein Benutzer Schwachstellen erfolgreich aus einem Konnektor importieren kann.	Verwenden und Verwalten von Secure Hosts Hinweis: Eine Automation for Secure Hosts-Lizenz ist erforderlich.
Wheel-Befehle	Wheel-Befehle steuern die Funktionsweise des Salt-Controllers und werden zum Verwalten von Schlüsseln verwendet.	Salt Wheel-Referenz

Ressourcenzugriff in der API

Der Zugriff auf die folgenden Ressourcentypen muss mithilfe der API (RaaS) definiert werden:

Dateien auf dem Dateiserver
Pfeilerdaten
Authentifizierungskonfiguration

Alle anderen Ressourcentypen außer Aufträgen, Zielen und den oben aufgeführten Ressourcentypen benötigen keine spezifischen Einstellungen für den Ressourcenzugriff.