In bestimmten Situationen müssen Sie möglicherweise detailliertere Rollenberechtigungen konfigurieren, die über die Optionen hinausgehen, die auf der Registerkarte „Aufgaben“ im Rolleneditor verfügbar sind. Die Registerkarte „Erweitert“ bietet genauere Kontrolle über die Aufgaben, die von einer Rolle durchgeführt werden können.

Die folgenden Schritte sollten von einem erfahrenen Salt-Administrator durchgeführt werden, der mit der gesamten Infrastruktur vertraut ist.

Definieren erweiterter Berechtigungen

  1. Klicken Sie im seitlichen Menü auf Verwaltung > Rollen. Wählen Sie anschließend die Registerkarte Erweitert aus.
  2. Stellen Sie sicher, dass die erforderliche Rolle im Seitenbereich Rollen ausgewählt wurde.
  3. Aktivieren oder deaktivieren Sie je nach Bedarf die Berechtigungen „Lesen“, „Ausführen“, „Schreiben“ oder „Löschen“ für eine Reihe von Funktionsbereichen.

    Weitere Informationen zu verfügbaren Ressourcentypen und Funktionsbereichen finden Sie unter Elemente.

    Die empfohlenen Mindestberechtigungen für typische Benutzervorgänge werden, wie in der folgenden Abbildung dargestellt, blau hervorgehoben.


    roles-advanced-blue-highlighting

    Diese Abbildung zeigt zwei Kästchen für empfohlene Mindestberechtigungen auf der linken Seite, wobei das eine Kästchen aktiviert und das andere deaktiviert ist. Daneben auf der rechten Seite befinden sich zwei normale Kästchen.

  4. Klicken Sie auf Speichern.

Berechtigungstypen

Berechtigung

Beschreibung

Lesen

Rolle kann einen bestimmten Ressourcentyp oder Funktionsbereich anzeigen. Wenn Sie beispielsweise die Rolle ReadTargetGroups zuweisen, kann die Rolle die von Ihnen angegebenen Ziele sowie Details zu jedem Ziel anzeigen.

Ausführen

Rolle kann einen bestimmten Vorgangstyp ausführen. Der zulässige Vorgangstyp kann variieren. Sie können beispielsweise Berechtigungen zum Ausführen beliebiger Befehle auf Minions oder Berechtigungen zum Ausführen von Befehlen auf Salt-Controllern zuweisen.

Schreiben

Die Rolle kann einen bestimmten Ressourcentyp oder Funktionsbereich erstellen und bearbeiten. Sie können WriteFileServer beispielsweise zu einer erweiterten Benutzerrolle zuweisen, sodass die Rolle Dateien auf dem Dateiserver erstellen oder bearbeiten kann. Benutzer mit Schreibzugriff können von ihnen erstellte Ressourcen bearbeiten, ohne dass bestimmte Einstellungen für den Ressourcenzugriff benötigt werden.

Löschen

Die Rolle kann einen bestimmten Ressourcentyp oder ein anderes Element in einem bestimmten Funktionsbereich löschen. Sie können DeletePillar beispielsweise zu einer Rolle zuweisen, damit die Rolle einen nicht mehr verwendeten Pfeiler löschen kann. Benutzer mit einer Löschberechtigung können von ihnen erstellte Ressourcen löschen, ohne dass bestimmte Einstellungen für den Ressourcenzugriff benötigt werden.

Elemente

Beim Festlegen von Berechtigungen für eine Rolle im erweiterten Editor können die oben genannten Aktionen auf die folgenden Ressourcen oder Funktionsbereiche angewendet werden.

Ressourcentyp/Funktionsbereich

Beschreibung

Weitere Informationen

Alle Minions-Befehle

Führen Sie Befehle im Ziel „Alle Minions“ aus. Das Ziel „Alle Minions“ kann basierend auf der Kombination von Minions variieren, auf die die Rolle zugreifen kann.

Minions

Admin

Gewährt Administratorrechte ausschließlich auf der SaltStack Config-Benutzeroberfläche. Beachten Sie, dass hiermit kein administrativer Zugriff auf die API (RaaS) erteilt wird. Wir empfehlen, beim Erteilen dieser Zugriffsebene für eine Rolle Vorsicht walten zu lassen.

Unter Standardeinstellungen integrierter Rollen finden Sie eine detaillierte Erläuterung der Berechtigungen für administrative Benutzer.

Überwachungsprotokoll

Das Überwachungsprotokoll enthält eine Aufzeichnung aller Aktivitäten in SaltStack Config, einschließlich Details zu den Aktionen jedes Benutzers.

Weitere Informationen finden Sie unter „rpc_audit“ oder wenden Sie sich an einen Administrator.

Befehle

Bei einem Befehl handelt es sich um die Aufgabe (oder Aufgaben), die als Teil eines Auftrags ausgeführt wird. Jeder Befehl enthält Zielinformationen, eine Funktion und optionale Argumente.

Aufträge

Dateiserver

Auf dem Dateiserver können Salt-spezifische Dateien, wie z. B. Top- oder Statusdateien, und Dateien gespeichert werden, die an Minions verteilt werden können, wie z. B. Systemkonfigurationsdateien.

Dateiserver

Gruppen

Gruppen sind Sammlungen von Benutzern mit gemeinsamen Merkmalen, die ähnliche Benutzerzugriffseinstellungen benötigen.

Rollen und Berechtigungen

Aufträge

Aufträge werden verwendet, um Remoteausführungsaufgaben auszuführen, Zustände anzuwenden und Salt-Runner zu starten.

Aufträge

Lizenz

Ihre Lizenz umfasst Nutzungs-Snapshots und Details, wie z. B. die Anzahl der für Ihre Installation lizenzierten Salt-Controller und -Minions sowie den Zeitpunkt des Lizenzablaufs.

Weitere Informationen finden Sie unter „rpc_license“ oder wenden Sie sich an einen Administrator.

Konfiguration des Salt-Controllers

Die Konfigurationsdatei des Salt-Controllers enthält Informationen zum Salt-Controller (ehemals Salt-Master), wie z. B. die ID des Salt-Controllers, den Veröffentlichungsport, das Caching-Verhalten usw.

Salt-Master-Konfigurationsreferenz

Ressourcen des Salt-Controllers

Der Salt-Controller ist ein zentraler Knoten, der zur Ausgabe von Befehlen an Minions verwendet wird.

Salt-Master-Referenz

Metadatenauthentifizierung

Die AUTH-Schnittstelle wird für die Verwaltung von Benutzern, Gruppen und Rollen über die RPC-API verwendet.

Weitere Informationen finden Sie unter „rpc_auth“ oder wenden Sie sich an einen Administrator.

Minion-Ressourcen

Bei Minions handelt es sich um Knoten, die den Minion-Dienst ausführen. Dieser Dienst kann Befehle eines Salt-Controllers befolgen und die erforderlichen Aufgaben durchführen.

Minions

Pfeiler

Bei Pfeilern handelt es sich um Datenstrukturen, die auf dem Salt-Controller definiert sind und mithilfe von Zielen an ein oder mehrere Minions übergeben werden. Sie ermöglichen das ausschließliche Senden vertraulicher, gezielter Daten an das entsprechende Minion.

Pfeiler

Returner-Daten

Returner empfangen die Daten-Minions, die aus ausgeführten Aufträgen zurückgegeben werden. Sie ermöglichen, dass die Ergebnisse eines Salt-Befehls an einen bestimmten Datenspeicher gesendet werden, z. B. an eine Datenbank oder Protokolldatei für die Archivierung.

Returner-Referenz

Rollen

Rollen werden verwendet, um Berechtigungen für mehrere Benutzer mit gemeinsamen Anforderungen zu definieren.

Rollen und Berechtigungen

Runner-Befehle

Bei einem Befehl handelt es sich um die Aufgabe (oder Aufgaben), die als Teil eines Auftrags ausgeführt wird. Jeder Befehl enthält Zielinformationen, eine Funktion und optionale Argumente. Salt-Runner sind Module, die zum Ausführen von Funktionen zur vereinfachten Handhabung auf dem Salt-Controller verwendet werden.

Aufträge

Konformitätsbewertung

Bei einer Bewertung handelt es sich um eine Instanz zur Überprüfung einer Knotensammlung für einen bestimmten Satz an Sicherheitsprüfungen, die in einer SaltStack SecOps Compliance-Richtlinie festgelegt sind.

SaltStack SecOps-KonformitätHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Konformitätsrichtlinie

Konformitätsrichtlinien bestehen aus Sammlungen von Sicherheitsprüfungen und Spezifikationen für die Knoten, für die die entsprechende Prüfung in SaltStack SecOps Compliance gilt.

SaltStack SecOps-KonformitätHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Konformitätsstandardisierung

Bei der Standardisierung werden nicht kompatible Knoten in SaltStack SecOps Compliance korrigiert.

SaltStack SecOps-KonformitätHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Erfassung von Konformitätsinhalten – SaltStack

Die Erfassung von SaltStack SecOps Compliance-Inhalten besteht im Herunterladen oder Aktualisieren der SaltStack SecOps Compliance-Sicherheitsbibliothek.

SaltStack SecOps-KonformitätHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Erfassung von Konformitätsinhalten – Benutzerdefiniert

Mit benutzerdefinierten Konformitätsinhalten können Sie eigene Sicherheitsstandards definieren, um die in SaltStack SecOps Compliance integrierte Bibliothek der Sicherheits-Benchmarks und -prüfungen zu ergänzen. Die Erfassung benutzerdefinierter Inhalte besteht im Hochladen benutzerdefinierter Prüfungen und Benchmarks.

SaltStack SecOps-KonformitätHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Benutzerdefinierte Konformitätsinhalte

Mit benutzerdefinierten Konformitätsinhalten können Sie eigene Sicherheitsstandards definieren, um die in SaltStack SecOps Compliance integrierte Bibliothek der Sicherheits-Benchmarks und -prüfungen zu ergänzen.

SaltStack SecOps-KonformitätHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Zeitpläne

Zeitpläne werden zum Ausführen von Aufträgen zu einem vordefinierten Zeitpunkt oder in einem bestimmten Intervall verwendet.

Zeitpläne

SSH-Befehle

SSH-Befehle (Secure Shell) werden in Minions ausgeführt, in denen der Minion-Dienst nicht installiert ist.

Salt SSH-Referenz

Zielgruppen

Ein Ziel ist die Gruppe von Minions auf mindestens einem Salt-Controller, auf den der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Controller kann auch wie ein Minion verwaltet werden und als Ziel fungieren, wenn er den Minion-Dienst ausgeführt.

Minions

Benutzer

Benutzer sind Personen, die über ein SaltStack Config-Konto bei Ihrer Organisation verfügen.

Rollen und Berechtigungen

Schwachstellenbewertung

Bei einer Schwachstellenbewertung handelt es sich um eine Instanz zur Überprüfung einer Knotensammlung für Schwachstellen im Rahmen einer SaltStack SecOps Vulnerability-Richtlinie.

SaltStack SecOps-SchwachstellenHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Schwachstellenrichtlinie

Eine Schwachstellenrichtlinie besteht aus einem Ziel und einem Bewertungszeitplan. Das Ziel bestimmt die Minions, die bei einer Bewertung berücksichtigt werden sollen, während im Zeitplan der Ausführungszeitpunkt der Bewertungen festgelegt wird. In einer Sicherheitsrichtlinie werden auch die Ergebnisse der aktuellen Bewertung in SaltStack SecOps Vulnerability gespeichert.

SaltStack SecOps-SchwachstellenHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Schwachstellenstandardisierung

Bei der Standardisierung werden Schwachstellen in SaltStack SecOps Vulnerability gepatcht.

SaltStack SecOps-SchwachstellenHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Erfassung von Schwachstelleninhalten

Bei SaltStack SecOps Vulnerability-Inhalten handelt es sich um eine Bibliothek mit Empfehlungen, die auf den aktuellen CVE-Einträgen (Common Vulnerabilities and Exposures) basieren. Bei der Erfassung von SaltStack SecOps Vulnerability-Inhalten wird die aktuelle Version der Inhaltsbibliothek heruntergeladen.

SaltStack SecOps-SchwachstellenHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Import von Schwachstellenanbietern

SaltStack SecOps Vulnerability unterstützt den Import von Sicherheitsprüfungen, die von einer Vielzahl von Drittanbietern erzeugt werden. Mit dieser Berechtigung kann ein Benutzer die Ergebnisse der Schwachstellenüberprüfung aus einer Datei oder über einen Konnektor importieren.

Standardmäßig können alle SaltStack Config-Benutzer auf den Arbeitsbereich „Konnektoren“ zugreifen. Allerdings sind die Berechtigung zum Importieren von Schwachstellenanbietern sowie eine SaltStack SecOps Vulnerability-Lizenz erforderlich, damit ein Benutzer Schwachstellen erfolgreich aus einem Konnektor importieren kann.

Konnektoren, SaltStack SecOps-SchwachstellenHinweis: Eine SaltStack SecOps-Lizenz ist erforderlich.

Wheel-Befehle

Wheel-Befehle steuern die Funktionsweise des Salt-Controllers und werden zum Verwalten von Schlüsseln verwendet.

Salt Wheel-Referenz

Ressourcenzugriff in der API

Der Zugriff auf die folgenden Ressourcentypen muss mithilfe der API (RaaS) definiert werden:

  • Dateien auf dem Dateiserver
  • Pfeilerdaten
  • Authentifizierungskonfiguration

Alle anderen Ressourcentypen (außer Aufträgen, Zielen und den oben aufgeführten Ressourcentypen) benötigen keine spezifischen Einstellungen für den Ressourcenzugriff.