En algunas situaciones, es posible que deba configurar permisos de función más detallados, más allá de las opciones disponibles en la pestaña Tareas del editor Funciones. La pestaña Configuración avanzada proporciona un control más preciso de las tareas que puede realizar una función.

Un administrador de Salt con experiencia que comprenda la infraestructura general debe completar los siguientes pasos.

Definir permisos avanzados

  1. Haga clic en Administración > Funciones en el menú lateral. A continuación, seleccione la pestaña Configuración avanzada.
  2. Asegúrese de que la función requerida esté seleccionada en el panel lateral Funciones.
  3. Seleccione o anule la selección de permisos según sea necesario; elija entre Lectura, Ejecución, Escritura o Eliminación para un rango de áreas funcionales.

    Consulte Elementos para obtener más información sobre los tipos de recursos y las áreas funcionales disponibles.

    Los permisos mínimos recomendados para el funcionamiento típico del usuario se resaltan en azul, como se demuestra en la siguiente figura.


    Resaltado avanzado en azul de funciones

    En esta imagen, se muestran dos casillas mínimas recomendadas a la izquierda, una seleccionada y otra no seleccionada, en comparación con dos casillas normales a la derecha.

  4. Haga clic en Guardar.

Tipos de permisos

Permiso

Descripción

Lectura

La función puede ver un tipo de recurso o área funcional determinado. Por ejemplo, si asigna la función ReadTargetGroups, la función puede ver los destinos que se especifiquen, así como los detalles de cada destino.

Ejecución

La función puede ejecutar un tipo de operación determinado. El tipo de operación permitido puede variar, por ejemplo, se puede asignar el permiso para ejecutar comandos arbitrarios en minions o para ejecutar comandos en controladoras Salt.

Escritura

La función puede crear y editar un tipo de recurso o área funcional determinado. Por ejemplo, se puede asignar WriteFileServer a una función de usuario avanzado para que la función pueda crear o editar archivos en el servidor de archivos. Los usuarios con acceso de escritura pueden editar los recursos que crearon, sin necesidad de ninguna configuración específica de acceso a los recursos.

Eliminar

La función puede eliminar un tipo de recurso determinado u otro elemento en un área funcional determinada. Por ejemplo, se puede asignar DeletePillar a una función, de modo que esta pueda eliminar un pilar que ya no se usa. Los usuarios con permiso de eliminación pueden eliminar los recursos que crearon, sin necesidad de ninguna configuración específica de acceso a los recursos.

Elementos

Al establecer permisos para una función en el editor avanzado, se pueden aplicar las acciones mencionadas a los siguientes recursos o áreas funcionales.

Tipo de recurso/Área funcional

Descripción

Consultar también

Todos los comandos de minions

Es posible ejecutar comandos en el destino Todos los minions. El destino Todos los minions puede variar según la combinación de minions para los que la función tiene permiso de acceso.

Minions

Administrador

Concede privilegios administrativos solo en la interfaz de usuario de SaltStack Config. Tenga en cuenta que esto no incluye el acceso administrativo a la API (RaaS). Como práctica recomendada, tenga cuidado al conceder este nivel de acceso a una función.

Consulte Configuración predeterminada de las funciones integradas para obtener una explicación detallada de los privilegios de usuario administrativo.

Registro de auditoría

El registro de auditoría es un registro de toda la actividad en SaltStack Config, incluidos los detalles de las acciones de cada usuario.

Consulte rpc_audit o póngase en contacto con un administrador para obtener ayuda.

Comandos

Un comando es la tarea o las tareas que se ejecutan como parte de un trabajo. Cada comando incluye información de destino, una función y argumentos opcionales.

Trabajos

Servidor de archivos

El servidor de archivos es una ubicación para almacenar archivos específicos de Salt, como archivos principales o de estado, así como archivos que se pueden distribuir entre los minions, como los archivos de configuración del sistema.

Servidor de archivos

Grupos

Los grupos son recopilaciones de usuarios que comparten características comunes y necesitan configuraciones de acceso de usuario similares.

Funciones y permisos

Trabajos

Los trabajos se utilizan para realizar tareas de ejecución remota, aplicar estados e iniciar ejecutores de Salt.

Trabajos

Licencia

La licencia incluye instantáneas de uso, detalles como el número de controladoras Salt y minions con licencias para la instalación, y el momento en que caduca cada licencia.

Consulte rpc_license o póngase en contacto con un administrador para obtener ayuda.

Configuración de controladora Salt

El archivo de configuración de la controladora Salt contiene detalles sobre la controladora Salt (anteriormente conocida como maestro de Salt), como su identificador, el puerto de publicación, el comportamiento de almacenamiento en caché, etc.

Referencia de configuración del maestro de Salt

Recursos de la controladora Salt

La controladora Salt es un nodo central que se utiliza para emitir comandos a los minions.

Referencia del maestro de Salt

Autenticación de metadatos

La interfaz de AUTH se utiliza para administrar usuarios, grupos y funciones a través de la API de RPC.

Consulte rpc_auth o póngase en contacto con un administrador para obtener ayuda.

Recursos de minions

Los minions son nodos que ejecutan el servicio de minion, y pueden escuchar los comandos de una controladora Salt y realizar las tareas solicitadas.

Minions

Pilar

Los pilares son estructuras de datos definidas en la controladora Salt y transferidas a uno o varios minions mediante destinos. Estos elementos permiten enviar los datos confidenciales dirigidos de forma segura solo al minion relevante.

Pilares

Datos de regresador

Los regresadores reciben los datos que los minions devuelven de los trabajos ejecutados. Estos elementos permiten enviar los resultados de un comando Salt a un almacén de datos determinado, como una base de datos o un archivo de registro, para su archivado.

Referencia de regresador

Funciones

Las funciones se utilizan para definir permisos para varios usuarios que comparten un conjunto común de necesidades.

Funciones y permisos

Comandos de ejecutor

Un comando es la tarea o las tareas que se ejecutan como parte de un trabajo. Cada comando incluye información de destino, una función y argumentos opcionales. Los ejecutores de Salt son módulos que se utilizan para ejecutar funciones de conveniencia en la controladora Salt.

Trabajos

Evaluación de conformidad

Una evaluación es una instancia de comprobación de una recopilación de nodos para un conjunto determinado de comprobaciones de seguridad, como se especifica en una directiva de SaltStack SecOps Compliance.

Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Directiva de conformidad

Las directivas de conformidad son recopilaciones de comprobaciones de seguridad, así como especificaciones sobre el nodo al que se aplica cada comprobación, en SaltStack SecOps Compliance.

Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Corrección de conformidad

La corrección es la acción de corregir los nodos no conformes en SaltStack SecOps Compliance.

Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Consumo de contenido de conformidad - SaltStack

Consumir contenido de SaltStack SecOps Compliance es descargar o actualizar la biblioteca de seguridad de SaltStack SecOps Compliance.

Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Consumo de contenido de conformidad - Personalizado

El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y las comprobaciones integradas en SaltStack SecOps Compliance. Consumir contenido personalizado es cargar comprobaciones y bancos de pruebas personalizados.

Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Contenido de conformidad personalizado

El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y las comprobaciones integradas en SaltStack SecOps Compliance.

Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Programaciones

Las programaciones se utilizan para ejecutar trabajos en una hora predefinida o un intervalo específico.

Programaciones

Comandos SSH

Los comandos de Shell seguro (Secure Shell, SSH) se ejecutan en minions que no tienen el servicio de minion instalado.

Referencia SSH de Salt

Grupos de destino

Un destino es el grupo de minions, en una o varias controladoras Salt, al que se aplica el comando de Salt de un trabajo. Una controladora Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion.

Minions

Usuarios

Los usuarios son individuos que tienen una cuenta de SaltStack Config con la organización.

Funciones y permisos

Evaluación de vulnerabilidad

Una evaluación de vulnerabilidad es una instancia de análisis de una recopilación de nodos en la que se buscan vulnerabilidades como parte de una directiva de SaltStack SecOps Vulnerability.

Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Directiva de vulnerabilidad

Una directiva de vulnerabilidad se compone de un destino y una programación de evaluación. El destino determina qué minions se deben incluir en una evaluación y la programación indica cuándo se deben ejecutar las evaluaciones. Una directiva de seguridad también almacena los resultados de la evaluación más reciente en SaltStack SecOps Vulnerability.

Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Corrección de vulnerabilidad

La corrección es la acción de aplicar revisiones a las vulnerabilidades en SaltStack SecOps Vulnerability.

Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Consumo de contenido de vulnerabilidad

El contenido de SaltStack SecOps Vulnerability es una biblioteca de avisos basados en las últimas entradas de Vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE). Consumir contenido de SaltStack SecOps Vulnerability es descargar la versión más reciente de la biblioteca de contenido.

Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Importación de proveedores de vulnerabilidad

SaltStack SecOps Vulnerability admite la importación de los análisis de seguridad que generan diversos proveedores externos. Este permiso permite que un usuario importe los resultados de un análisis de vulnerabilidad desde un archivo o a través de un conector.

De forma predeterminada, todos los usuarios de SaltStack Config pueden acceder al área de trabajo Conectores. Sin embargo, se requiere permiso para ejecutar la importación de proveedores de vulnerabilidad, así como una licencia de SaltStack SecOps Vulnerability, para que un usuario importe correctamente las vulnerabilidades desde un conector.

Conectores: Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps.

Comandos wheel

Los comandos wheel controlan el funcionamiento de la controladora Salt y se utilizan para administrar claves.

Referencia Wheel de Salt

Acceso a recursos en la API

Es necesario definir el acceso a los siguientes tipos de recursos mediante la API (RaaS):

  • Archivos en el servidor de archivos
  • Datos de pilar
  • Configuración de autenticación

Todos los demás tipos de recursos (excepto los trabajos, los destinos y los mencionados anteriormente) no requieren ninguna configuración específica de acceso a recursos.