Im Lieferumfang von SaltStack Config sind mehrere integrierte Rollen enthalten, die nicht gelöscht werden können. Darüber hinaus stehen Tools zum Erstellen benutzerdefinierter Rollen für Ihre eigenen Bedürfnisse zur Verfügung.
Integrierte Rollen
SaltStack Config enthält die folgenden integrierten Rollen.
- Benutzer – Die Standardrolle, die allen neuen lokalen, SSO- und LDAP-Benutzern zugewiesen wurde. Die Rolle „Benutzer“ umfasst wesentliche Berechtigungen, wie z. B. Lesezugriff, die für die Ausführung vieler grundlegender Funktionen erforderlich sind. Benutzern, denen diese Rolle zugewiesen ist, können Aufträge anzeigen und ausführen sowie den Auftragsverlauf, Auftragsrückläufe und Berichte für bestimmte Minions und Auftragstypen anzeigen, die auf die Ressourcenzugriffseinstellungen der Rolle begrenzt sind.
- Administrator – Diese Rolle benötigt Zugriff auf fortgeschrittenere Tools als die Benutzerrolle und kann daher auf die Systemverwaltung zugreifen. Administratoren können vertrauliche Daten anzeigen (und in bestimmten Fällen bearbeiten), die sich in Benutzereinstellungen und Pfeilern befinden. Die Rolle kann Ressourcen wie Dateien, Aufträge und Ziele erstellen, aktualisieren und löschen. Administratoren können Schlüssel auch nach Bedarf verwalten, wenn sie neue Knoten konfigurieren.
- Superuser – Superuser können jeden Vorgang in SaltStack Config durchführen, einschließlich des Zugreifens auf die Systemverwaltung.
rootist der Rolle „Superuser“ zugewiesen. Die Rolle kann nicht gelöscht oder geklont werden. Sie können der Rolle eine beliebige Gruppe oder einen beliebigen Benutzer hinzufügen. Die anderen Einstellungen der Rolle können jedoch nicht geändert werden. Nur fortgeschrittenen Benutzern sollten die Rolle „Superuser“ zugewiesen werden, da Berechtigungseinschränkungen damit effektiv umgangen werden.
Benutzerdefinierte Rollen
Als Ergänzung der in SaltStack Config integrierten Rollen können Sie benutzerdefinierte Rollen erstellen. Mithilfe benutzerdefinierter Rollen können Sie gezielteren Ressourcenzugriff für verschiedene Benutzerprofile basierend auf den Anforderungen Ihrer Organisation definieren. Beispielsweise können Sie eine CentOS-Administratorrolle für Benutzer erstellen, die für die Verwaltung von CentOS-Knoten verantwortlich sind, und eine RedHat-Administratorrolle für Benutzer, die für RedHat-Knoten verantwortlich sind.
Benutzer
| Ressourcentyp/Funktionsbereich | Lesen | Ausführen | Schreiben | Löschen |
|---|---|---|---|---|
| Hintergrundaufträge | X | |||
| Befehle | X | |||
| Dateiserver | X | |||
| Aufträge | X | X | ||
| Lizenz | X | |||
| Konfiguration des Salt-Controllers | X | |||
| Dateiserver des Salt-Controllers | X | |||
| Salt-Controller | X | |||
| Metadatenauthentifizierung | X | |||
| Minion | X | |||
| Returner | X | |||
| Zeitplan | X | X | X | |
| SaltStack SecOps-Konformitätsrichtlinien Hinweis: Eine Lizenz ist erforderlich | X | |||
| Richtlinien für SaltStack SecOps-Schwachstellen Hinweis: Eine Lizenz für SaltStack SecOps-Schwachstellen ist erforderlich. | X | |||
| Ziele | X | |||
| Alle Minions-Befehle | X |
Administrator
| Ressourcentyp/Funktionsbereich | Lesen | Ausführen | Schreiben | Löschen |
|---|---|---|---|---|
| Hintergrundaufträge | X | |||
| Befehle | X | X | X | |
| Runner-Befehle | X | |||
| SSH-Befehle | X | X | X | X |
| Wheel-Befehle | X | |||
| Dateiserver | X | X | X | |
| Aufträge | X | X | X | X |
| Lizenz | X | |||
| Metadatenauthentifizierung | X | X | ||
| Minion | X | X | ||
| Pfeiler | X | X | X | |
| Returner | X | X | ||
| Rolle | X | X | X | |
| Zeitplan | X | X | X | |
| SaltStack SecOps Compliance Richtlinien Hinweis: Eine SaltStack SecOps-Lizenz ist erforderlich | X | |||
| SaltStack SecOps Vulnerability Richtlinien Hinweis: Eine SaltStack SecOps-Lizenz ist erforderlich | X | |||
| Ziele | X | X | X | |
| Alle Minions-Befehle | X | |||
| Benutzer | X | X | X |
Superuser
Die Rolle „Superuser“ kann jeden Vorgang in SaltStack Config durchführen.
