Mit dem SaltStack Config-System für die rollenbasierte Zugriffssteuerung (Role Based Access Control, RBAC) können Sie Berechtigungseinstellungen für mehrere Benutzer gleichzeitig definieren, da die Berechtigungseinstellungen für eine Rolle automatisch für alle Benutzer gelten, denen die betreffende Rolle zugewiesen wurde. Sie können diese Einstellungen über die Benutzeroberfläche im Arbeitsbereich „Rollen“ festlegen.

Im Lieferumfang von SaltStack Config sind viele integrierte Rollen enthalten, die nicht gelöscht werden können.
  • Benutzer – Die Standardrolle, die allen neuen lokalen, SSO- und LDAP-Benutzern zugewiesen wurde. Die Rolle „Benutzer“ umfasst wesentliche Berechtigungen, wie z. B. Lesezugriff, die für die Ausführung vieler grundlegender Funktionen erforderlich sind. Benutzern, denen diese Rolle zugewiesen ist, können Aufträge anzeigen und ausführen sowie den Auftragsverlauf, Auftragsrückläufe und Berichte für bestimmte Minions und Auftragstypen anzeigen, die auf die Ressourcenzugriffseinstellungen der Rolle begrenzt sind.
  • Administrator – Diese Rolle benötigt Zugriff auf modernere Tools als die Benutzerrolle und kann daher auf die Systemverwaltung zugreifen. Administratoren können vertrauliche Daten anzeigen (und in bestimmten Fällen bearbeiten), die sich in Benutzereinstellungen und Pfeilern befinden. Die Rolle kann Ressourcen wie Dateien, Aufträge und Ziele erstellen, aktualisieren und löschen. Administratoren können Schlüssel auch nach Bedarf verwalten, wenn sie neue Knoten konfigurieren.
  • Superuser – Superuser können jeden Vorgang in SaltStack Config durchführen, einschließlich des Zugreifens auf die Systemverwaltung. root ist der Rolle „Superuser“ zugewiesen. Die Rolle kann nicht gelöscht oder geklont werden. Sie können der Rolle eine beliebige Gruppe oder einen beliebigen Benutzer hinzufügen. Die anderen Einstellungen der Rolle können jedoch nicht geändert werden. Nur fortgeschrittenen Benutzern sollten die Rolle „Superuser“ zugewiesen werden, da Berechtigungseinschränkungen damit effektiv umgangen werden.

Darüber hinaus können Sie benutzerdefinierte Rollen für die individuellen Anforderungen Ihrer Organisation erstellen.

Um einer Rolle die Berechtigung zum Abschließen einer Aufgabe zu erteilen, müssen Sie sowohl die zulässige Aufgabe definieren als auch den Zugriff auf eine Ressource oder einen Funktionsbereich zuweisen. Eine Berechtigung ist eine breite Kategorie zulässiger Aktionen, wohingegen Sie über den Ressourcenzugriff eine bestimmte Ressource (z. B. einen Auftrag oder ein Ziel) festlegen können, für die die Aktion ausgeführt werden darf.

Der Ressourcenzugriff für bestimmte Ressourcentypen und Funktionsbereiche muss in der API (RaaS) statt im Rollen-Editor definiert werden.

Nach dem Erstellen einer Rolle können Sie diese klonen, zulässige Aufgaben festlegen und Zugriff auf einen Auftrag oder ein Ziel erteilen.

Zum Definieren einer Rolle für rollenbasierte Zugriffssteuerungen (Role-Based Access Controls, RBAC) in SaltStack Config müssen Sie sowohl die zulässige Aufgabe definieren als auch Ressourcenzugriff zuweisen. Eine Aufgabe ist ein bestimmter Vorgang, der in der Benutzeroberfläche ausgeführt werden kann, z. B. das Erstellen, Bearbeiten oder Ausführen eines Auftrags. Eine Ressource ist ein Element Ihrer Umgebung, z. B. bestimmte Master, Minions, Ziele, Dateidaten usw.

Bei einer zulässigen Aufgabe handelt es sich um eine breite Kategorie zulässiger Aktionen, während der Ressourcenzugriff präziser ist: Sie können eine bestimmte Ressource (z. B. einen Auftrag oder ein Ziel) angeben, für die die Aktion ausgeführt werden soll.


permissions-resources-concept

In diesem Beispiel kann eine Rolle test.ping in der Linux-Zielgruppe mit folgenden Berechtigungseinstellungen ausführen:

  • Lesezugriff auf das Linux-Ziel
  • Lese-/Ausführungszugriff auf einen Auftrag, der den Befehl test.ping enthält

permissions-resources-example

Aufgaben

Die Registerkarte Aufgaben enthält die folgenden Optionen.

Aufgabe

Beschreibung

Neue Ziele erstellen und löschen

Die Rolle kann neue Ziele erstellen. Benutzer, die dieser Rolle zugewiesen sind, können die von ihnen erstellten Ziele sowie andere unter Ressourcenzugriff festgelegte Ziele bearbeiten und löschen.

Ein Ziel ist die Gruppe von Minions, die auf einen oder mehrere Salt-Master verteilt sein können, auf die der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Master kann auch wie ein Minion verwaltet werden und ein Ziel sein, wenn er den Minion-Dienst ausgeführt. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen von Zielen.

Pfeilerdaten ändern

Die Rolle kann in Pfeilern gespeicherte vertrauliche Informationen anzeigen, bearbeiten und löschen. Benutzer, die zu dieser Rolle gehören, können die von ihnen erstellten Pfeiler bearbeiten oder löschen. Außerdem können sie andere Pfeiler bearbeiten oder löschen, wenn ihnen der Ressourcenzugriff dafür erteilt wurde (nur über die API [RaaS] verfügbar).

Bei Pfeilern handelt es sich um Datenstrukturen, die auf dem Salt-Master definiert sind und mithilfe von Zielen an ein oder mehrere Minions übergeben werden. Sie ermöglichen das ausschließliche Senden vertraulicher, gezielter Daten an das entsprechende Minion. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen von Statusdateien und Pfeilerdaten.

Dateiserver ändern

Die Rolle kann den Dateiserver anzeigen und Dateien erstellen, bearbeiten oder löschen. Benutzer, die zu dieser Rolle gehören, können die von ihnen erstellten Dateien bearbeiten oder löschen. Außerdem können sie andere Dateien bearbeiten oder löschen, wenn ihnen der Ressourcenzugriff dafür erteilt wurde (nur über die API [RaaS] verfügbar).

Auf dem Dateiserver können Salt-spezifische Dateien, wie z. B. Top- oder Statusdateien, und Dateien gespeichert werden, die an Minions verteilt werden können, wie z. B. Systemkonfigurationsdateien. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen von Statusdateien und Pfeilerdaten.

Beliebige Befehle für Minions ausführen

Die Rolle kann Befehle außerhalb einer Aufgabe auslösen, die der Salt-Master abholen soll. Die Rolle ist nicht auf die Ausführung der Befehle beschränkt, die in einer bestimmten Auftragsdefinition enthalten sind.

Bei Minions handelt es sich um Knoten, auf denen der Minion-Dienst ausgeführt wird. Dieser Dienst kann Befehle eines Salt-Masters befolgen und die erforderlichen Aufgaben durchführen.

Schlüssel akzeptieren, löschen und ablehnen

Die Rolle kann Minion-Schlüssel nach Bedarf für die Erstkonfiguration akzeptieren, löschen und ablehnen.

Ein Minion-Schlüssel ermöglicht die verschlüsselte Kommunikation zwischen einem Salt-Master und einem Salt-Minion.

Benutzer, Rollen, Berechtigungen lesen und ändern

Die Rolle kann Benutzer und zugehörige Daten anzeigen sowie Rollen und Berechtigungseinstellungen bearbeiten.

Hinweis: Diese Aufgabe gilt nur für die integrierten Administrator- und Superuser-Rollen.

Rollen werden verwendet, um Berechtigungen für mehrere Benutzer mit gemeinsamen Anforderungen zu definieren.

Befehle auf Salt-Mastern ausführen

Die Rolle kann Befehle auf Salt-Mastern ausführen, z. B. zum Ausführen der Orchestrierung.

Befehle, die für den Salt-Master ausgeführt werden, werden auch als Salt Runners bezeichnet. Salt-Runner sind Module, die zum Ausführen von Funktionen zur vereinfachten Handhabung auf dem Salt-Master verwendet werden. Weitere Informationen finden Sie unter Vorgehensweise zum Erstellen von Aufträgen. Durch Hinzufügen dieser Berechtigung kann die Rolle die Option salt-run aus der Funktion Befehl ausführen auf der Registerkarte „Minions“ verwenden.

Konformität– erstellen, bearbeiten, löschen und bewerten

Die Rolle kann SaltStack SecOps Compliance-Richtlinien erstellen, bearbeiten, löschen und bewerten. Neben der Erteilung der Berechtigung für diese Aufgabe müssen Sie auch den Ressourcenzugriff für alle Ziele definieren, für die die Rolle Aktionen ausführen soll. Wenn die OracleLinuxAdmin-Rolle beispielsweise Richtlinien für ein OracleLinux-Ziel definieren soll, weisen Sie der Rolle sowohl die Berechtigung zum Ausführen dieser Aufgabe als auch den Lesezugriff auf das OracleLinux-Ziel zu.

Diese Aufgabe lässt nicht zu, dass die Rolle Standardisierungen für SaltStack SecOps Compliance-Richtlinien durchführt.

SaltStack SecOps Compliance ist ein Add-On für SaltStack Config, das den Sicherheitskonformitätsstatus für alle Systeme in Ihrer Umgebung verwaltet. Weitere Informationen finden Sie unter Verwenden und Verwalten von SaltStack SecOps.

Hinweis:

Eine SaltStack SecOps-Lizenz ist erforderlich.

Konformität – standardisieren

Die Rolle kann alle nicht konformen Minions standardisieren, die in einer SaltStack SecOps Compliance-Bewertung erkannt wurden.

SaltStack SecOps Compliance ist ein Add-On für SaltStack Config, das den Sicherheitskonformitätsstatus für alle Systeme in Ihrer Umgebung verwaltet. Weitere Informationen finden Sie unter Verwenden und Verwalten von SaltStack SecOps.

Hinweis:

Eine SaltStack SecOps-Lizenz ist erforderlich.

Konformität – SaltStack-Inhalt aktualisieren

Die Rolle kann Updates in die SaltStack SecOps Compliance-Sicherheitsbibliothek herunterladen.

Schwachstelle – erstellen, bearbeiten, löschen und bewerten

Die Rolle kann SaltStack SecOps Vulnerability-Richtlinien erstellen, bearbeiten, löschen und bewerten. Neben der Erteilung der Berechtigung für diese Aufgabe müssen Sie auch den Ressourcenzugriff für alle Ziele definieren, für die die Rolle Bewertungen ausführen soll.

Diese Aufgabe lässt nicht zu, dass die Rolle Standardisierungen für SaltStack SecOps Vulnerability-Richtlinien durchführt.

SaltStack SecOps Vulnerability ist ein Add-On für SaltStack Config, das Schwachstellen auf allen Systemen in Ihrer Umgebung verwaltet. Weitere Informationen finden Sie unter Verwenden und Verwalten von SaltStack SecOps.

Hinweis:

Eine SaltStack SecOps-Lizenz ist erforderlich.

Schwachstelle – beheben

Die Rolle kann in einer SaltStack SecOps Vulnerability-Bewertung festgestellte Schwachstellen beheben.

SaltStack SecOps Vulnerability ist ein Add-On für SaltStack Config, das Schwachstellen auf allen Systemen in Ihrer Umgebung verwaltet. Weitere Informationen finden Sie unter Verwenden und Verwalten von SaltStack SecOps.

Hinweis:

Eine SaltStack SecOps-Lizenz ist erforderlich.

Ressourcenzugriff

Auf der Registerkarte Ressourcenzugriff können Sie den Ressourcenzugriff für Ziele und Aufträge definieren. Ein Ziel ist die Gruppe von Minions, die auf einen oder mehrere Salt-Master verteilt sein können, auf die der Salt-Befehl eines Auftrags angewendet wird. Ein Salt-Master kann auch wie ein Minion verwaltet werden und ein Ziel sein, wenn er den Minion-Dienst ausgeführt. Aufträge werden verwendet, um Remoteausführungsaufgaben auszuführen, Zustände anzuwenden und Salt-Runner zu starten.

Hinweis: Die nicht in der Tabelle definierten Ressourcentypen benötigen keine spezifischen Einstellungen für den Ressourcenzugriff.
Ressourcentyp Zugriffsebenen
Ziele
  • Nur lesen: Die Rolle kann das angegebene Ziel und dessen Details anzeigen, aber nicht bearbeiten oder löschen.
  • Lesen/Schreiben: Die Rolle kann das angegebene Ziel anzeigen und bearbeiten.
  • Lesen/Schreiben/Löschen: Die Rolle kann das angegebene Ziel anzeigen, bearbeiten und löschen.
Aufträge
  • Nur lesen: Die Rolle kann den angegebenen Auftrag und die zugehörigen Details anzeigen, aber nicht bearbeiten oder löschen.
  • Lesen/Ausführen: Die Rolle kann den angegebenen Auftrag anzeigen und ausführen.
  • Lesen/Ausführen/Schreiben: Die Rolle kann den angegebenen Auftrag anzeigen, bearbeiten und ausführen.
  • Lesen/Ausführen/Schreiben/Löschen: Die Rolle kann den angegebenen Auftrag anzeigen, bearbeiten, löschen und ausführen.
Andere Ressourcentypen – Der Zugriff auf die folgenden Ressourcentypen muss mithilfe der API (RaaS) definiert werden
  • Dateien auf dem Dateiserver
  • Pfeilerdaten
  • Authentifizierungskonfiguration
In der API (RaaS) definiert

So erstellen und definieren Sie eine Rolle:

Voraussetzungen

Zum Definieren von Benutzerrollen benötigen Sie Administratorzugriff.

Prozedur

  1. Klicken Sie im seitlichen Menü auf Verwaltung > Rollen.
  2. Klicken Sie auf Erstellen und geben Sie einen Namen für Ihre Rolle ein.
  3. Wählen Sie unter Aufgaben zulässige Aktionen aus, die der Rolle gewährt werden sollen.
  4. Klicken Sie auf Speichern.
  5. Zum Zuweisen von Zugriff auf einen Auftrag oder ein Ziel über den Arbeitsbereich „Rollen“ suchen Sie unter Ressourcenzugriff nach dem benötigten Auftrag oder dem benötigten Ziel und wählen Sie die gewünschte Zugriffsebene aus. Um beispielsweise zuzulassen, dass eine bestimmte Rolle Aufträge ausführt, wählen Sie Lesen/Ausführen aus und klicken Sie auf Speichern.
  6. (Optional) Zur Aufnahme von Gruppen wählen Sie die Rolle im Arbeitsbereich „Rollen“ und die aufzunehmenden Gruppen unter Gruppen aus und klicken Sie auf Speichern.
    Hinweis: Rollenberechtigungen sind additiv. Benutzer in Gruppen, denen mehrere Rollen in Gruppen zugewiesen sind, erhalten den Zugriff auf eine Kombination aller Funktionen, auf die die betreffenden Rollen jeweils Zugriff haben. Den ausgewählten Gruppen, einschließlich aller Benutzer in diesen Gruppen, werden alle in den Rolleneinstellungen definierten zulässigen Aufgaben und Ressourcenzugriffe gewährt.
  7. (Optional) Zum Klonen einer Rolle wählen Sie die Rolle im Arbeitsbereich „Rollen“ aus, klicken Sie auf Klonen, geben Sie einen neuen Namen für die Rolle ein und klicken Sie auf Speichern.
    Hinweis: Geklonte Rollen übernehmen standardmäßig die zulässigen Aufgaben von der ursprünglichen Rolle. Geklonte Rollen übernehmen keinen Ressourcenzugriff. Dieser muss gesondert festgelegt werden.
  8. (Optional) In bestimmten Situationen müssen Sie möglicherweise präzisere Berechtigungen konfigurieren. Klicken Sie zum Gewähren erweiterter Berechtigungen auf Verwaltung > Rollen > Erweitert, wählen Sie die Rolle aus und aktivieren bzw. deaktivieren Sie zusätzliche Berechtigungen. Klicken Sie auf Speichern. Weitere Informationen zu erweiterten Berechtigungen und Elementtypen finden Sie unter Erweiterte Berechtigungen und Elementtypen.
    Hinweis: Die empfohlenen Mindestberechtigungen für typische Benutzervorgänge sind blau markiert.
    roles-advanced-blue-highlighting