En algunas situaciones, es posible que deba configurar permisos de función más detallados, más allá de las opciones disponibles en la pestaña Tareas del editor Funciones. La pestaña Configuración avanzada proporciona un control más preciso de las tareas que puede realizar una función.
Tipos de permisos
Permiso |
Descripción |
---|---|
Lectura |
La función puede ver un tipo de recurso o área funcional determinado. Por ejemplo, si asigna la función |
Ejecución |
La función puede ejecutar un tipo de operación determinado. El tipo de operación permitido puede variar, por ejemplo, se puede asignar el permiso para ejecutar comandos arbitrarios en minions o para ejecutar comandos en controladoras Salt. |
Escritura |
La función puede crear y editar un tipo de recurso o área funcional determinado. Por ejemplo, se puede asignar |
Eliminar |
La función puede eliminar un tipo de recurso determinado u otro elemento en un área funcional determinada. Por ejemplo, se puede asignar |
Elementos
Al establecer permisos para una función en el editor avanzado, se pueden aplicar las acciones mencionadas a los siguientes recursos o áreas funcionales.
Tipo de recurso/Área funcional |
Descripción |
Consultar también |
---|---|---|
Todos los comandos de minions |
Es posible ejecutar comandos en el destino Todos los minions. El destino Todos los minions puede variar según la combinación de minions para los que la función tiene permiso de acceso. |
|
Administrador |
Concede privilegios administrativos solo en la interfaz de usuario de Automation Config. Tenga en cuenta que esto no incluye el acceso administrativo a la API (RaaS). Como práctica recomendada, tenga cuidado al conceder este nivel de acceso a una función. |
Cómo definir las funciones de usuario |
Registro de auditoría |
El registro de auditoría es un registro de toda la actividad en Automation Config, incluidos los detalles de las acciones de cada usuario. |
Consulte rpc_audit o póngase en contacto con un administrador para obtener ayuda. |
Comandos |
Un comando es la tarea o las tareas que se ejecutan como parte de un trabajo. Cada comando incluye información de destino, una función y argumentos opcionales. |
|
Servidor de archivos |
El servidor de archivos es una ubicación para almacenar archivos específicos de Salt, como archivos principales o de estado, así como archivos que se pueden distribuir entre los minions, como los archivos de configuración del sistema. |
|
Grupos |
Los grupos son recopilaciones de usuarios que comparten características comunes y necesitan configuraciones de acceso de usuario similares. |
|
Trabajos |
Los trabajos se utilizan para realizar tareas de ejecución remota, aplicar estados e iniciar ejecutores de Salt. |
|
Licencia |
La licencia incluye instantáneas de uso, detalles como el número de controladoras Salt y minions con licencias para la instalación, y el momento en que caduca cada licencia. |
Consulte rpc_license o póngase en contacto con un administrador para obtener ayuda. |
Configuración de controladora Salt |
El archivo de configuración de la controladora Salt contiene detalles sobre la controladora Salt (anteriormente conocida como maestro de Salt), como su identificador, el puerto de publicación, el comportamiento de almacenamiento en caché, etc. |
|
Recursos de la controladora Salt |
La controladora Salt es un nodo central que se utiliza para emitir comandos a los minions. |
|
Autenticación de metadatos |
La interfaz de AUTH se utiliza para administrar usuarios, grupos y funciones a través de la API de RPC. |
Consulte rpc_auth o póngase en contacto con un administrador para obtener ayuda. |
Recursos de minions |
Los minions son nodos que ejecutan el servicio de minion, y pueden escuchar los comandos de una controladora Salt y realizar las tareas solicitadas. |
|
Pilar |
Los pilares son estructuras de datos definidas en la controladora Salt y transferidas a uno o varios minions mediante destinos. Estos elementos permiten enviar los datos confidenciales dirigidos de forma segura solo al minion relevante. |
|
Datos de regresador |
Los regresadores reciben los datos que los minions devuelven de los trabajos ejecutados. Estos elementos permiten enviar los resultados de un comando Salt a un almacén de datos determinado, como una base de datos o un archivo de registro, para su archivado. |
|
Funciones |
Las funciones se utilizan para definir permisos para varios usuarios que comparten un conjunto común de necesidades. |
|
Comandos de ejecutor |
Un comando es la tarea o las tareas que se ejecutan como parte de un trabajo. Cada comando incluye información de destino, una función y argumentos opcionales. Los ejecutores de Salt son módulos que se utilizan para ejecutar funciones de conveniencia en la controladora Salt. |
|
Evaluación de conformidad |
Una evaluación es una instancia de comprobación de una recopilación de nodos para un conjunto determinado de comprobaciones de seguridad, como se especifica en una directiva de Automation for Secure Hosts Compliance. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Directiva de conformidad |
Las directivas de conformidad son recopilaciones de comprobaciones de seguridad, así como especificaciones sobre el nodo al que se aplica cada comprobación, en Automation for Secure Hosts Compliance. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Corrección de conformidad |
La corrección es la acción de corregir los nodos no conformes en Automation for Secure Hosts Compliance. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Consumo de contenido de conformidad: Automation Config |
Consumir contenido de Automation for Secure Hosts Compliance es descargar o actualizar la biblioteca de seguridad de Automation for Secure Hosts Compliance. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Consumo de contenido de conformidad - Personalizado |
El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y las comprobaciones integradas en Automation for Secure Hosts Compliance. Consumir contenido personalizado es cargar comprobaciones y bancos de pruebas personalizados. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Contenido de conformidad personalizado |
El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y las comprobaciones integradas en Automation for Secure Hosts Compliance. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Programaciones |
Las programaciones se utilizan para ejecutar trabajos en una hora predefinida o un intervalo específico. |
|
Comandos SSH |
Los comandos de Shell seguro (Secure Shell, SSH) se ejecutan en minions que no tienen el servicio de minion instalado. |
|
Grupos de destino |
Un destino es el grupo de minions, en una o varias controladoras Salt, al que se aplica el comando de Salt de un trabajo. Una controladora Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion. |
|
Usuarios |
Los usuarios son individuos que tienen una cuenta de Automation Config con la organización. |
|
Evaluación de vulnerabilidad |
Una evaluación de vulnerabilidad es una instancia de análisis de una recopilación de nodos en la que se buscan vulnerabilidades como parte de una directiva de Automation for Secure Hosts Vulnerability. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Directiva de vulnerabilidad |
Una directiva de vulnerabilidad se compone de un destino y una programación de evaluación. El destino determina qué minions se deben incluir en una evaluación y la programación indica cuándo se deben ejecutar las evaluaciones. Una directiva de seguridad también almacena los resultados de la evaluación más reciente en Automation for Secure Hosts Vulnerability. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts
|
Corrección de vulnerabilidad |
La corrección es la acción de aplicar revisiones a las vulnerabilidades en Automation for Secure Hosts Vulnerability. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Consumo de contenido de vulnerabilidad |
El contenido de Automation for Secure Hosts Vulnerability es una biblioteca de avisos basados en las últimas entradas de Vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE). Consumir contenido de Automation for Secure Hosts Vulnerability es descargar la versión más reciente de la biblioteca de contenido. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Importación de proveedores de vulnerabilidad |
Automation for Secure Hosts Vulnerability admite la importación de los análisis de seguridad que generan diversos proveedores externos. Este permiso permite que un usuario importe los resultados de un análisis de vulnerabilidad desde un archivo o a través de un conector. De forma predeterminada, todos los usuarios de Automation Config pueden acceder al área de trabajo Conectores. Sin embargo, se requiere permiso para ejecutar la importación de proveedores de vulnerabilidad, así como una licencia de Automation for Secure Hosts Vulnerability, para que un usuario importe correctamente las vulnerabilidades desde un conector. |
Usar y administrar Secure Hosts
Nota: Se requiere una licencia de
Automation for Secure Hosts.
|
Comandos wheel |
Los comandos wheel controlan el funcionamiento de la controladora Salt y se utilizan para administrar claves. |
Acceso a recursos en la API
Es necesario definir el acceso a los siguientes tipos de recursos mediante la API (RaaS):
- Archivos en el servidor de archivos
- Datos de pilar
- Configuración de autenticación
Todos los demás tipos de recursos excepto los trabajos, los destinos y los mencionados anteriormente, no requieren ninguna configuración específica de acceso a recursos.