En algunas situaciones, es posible que deba configurar permisos de función más detallados, más allá de las opciones disponibles en la pestaña Tareas del editor Funciones. La pestaña Configuración avanzada proporciona un control más preciso de las tareas que puede realizar una función.
Un administrador de Salt con experiencia que comprenda la infraestructura general debe completar los siguientes pasos.
Definir permisos avanzados
- Haga clic en Administración > Funciones en el menú lateral. A continuación, seleccione la pestaña Configuración avanzada.
- Asegúrese de que la función requerida esté seleccionada en el panel lateral Funciones.
- Seleccione o anule la selección de permisos según sea necesario; elija entre Lectura, Ejecución, Escritura o Eliminación para un rango de áreas funcionales.
Consulte Elementos para obtener más información sobre los tipos de recursos y las áreas funcionales disponibles.
Los permisos mínimos recomendados para el funcionamiento típico del usuario se resaltan en azul, como se demuestra en la siguiente figura.
En esta imagen, se muestran dos casillas mínimas recomendadas a la izquierda, una seleccionada y otra no seleccionada, en comparación con dos casillas normales a la derecha.
- Haga clic en Guardar.
Tipos de permisos
Permiso |
Descripción |
---|---|
Lectura |
La función puede ver un tipo de recurso o área funcional determinado. Por ejemplo, si asigna la función |
Ejecución |
La función puede ejecutar un tipo de operación determinado. El tipo de operación permitido puede variar, por ejemplo, se puede asignar el permiso para ejecutar comandos arbitrarios en minions o para ejecutar comandos en controladoras Salt. |
Escritura |
La función puede crear y editar un tipo de recurso o área funcional determinado. Por ejemplo, se puede asignar |
Eliminar |
La función puede eliminar un tipo de recurso determinado u otro elemento en un área funcional determinada. Por ejemplo, se puede asignar |
Elementos
Al establecer permisos para una función en el editor avanzado, se pueden aplicar las acciones mencionadas a los siguientes recursos o áreas funcionales.
Tipo de recurso/Área funcional |
Descripción |
Consultar también |
---|---|---|
Todos los comandos de minions |
Es posible ejecutar comandos en el destino Todos los minions. El destino Todos los minions puede variar según la combinación de minions para los que la función tiene permiso de acceso. |
|
Administrador |
Concede privilegios administrativos solo en la interfaz de usuario de SaltStack Config. Tenga en cuenta que esto no incluye el acceso administrativo a la API (RaaS). Como práctica recomendada, tenga cuidado al conceder este nivel de acceso a una función. |
Consulte Configuración predeterminada de las funciones integradas para obtener una explicación detallada de los privilegios de usuario administrativo. |
Registro de auditoría |
El registro de auditoría es un registro de toda la actividad en SaltStack Config, incluidos los detalles de las acciones de cada usuario. |
Consulte rpc_audit o póngase en contacto con un administrador para obtener ayuda. |
Comandos |
Un comando es la tarea o las tareas que se ejecutan como parte de un trabajo. Cada comando incluye información de destino, una función y argumentos opcionales. |
|
Servidor de archivos |
El servidor de archivos es una ubicación para almacenar archivos específicos de Salt, como archivos principales o de estado, así como archivos que se pueden distribuir entre los minions, como los archivos de configuración del sistema. |
|
Grupos |
Los grupos son recopilaciones de usuarios que comparten características comunes y necesitan configuraciones de acceso de usuario similares. |
|
Trabajos |
Los trabajos se utilizan para realizar tareas de ejecución remota, aplicar estados e iniciar ejecutores de Salt. |
|
Licencia |
La licencia incluye instantáneas de uso, detalles como el número de controladoras Salt y minions con licencias para la instalación, y el momento en que caduca cada licencia. |
Consulte rpc_license o póngase en contacto con un administrador para obtener ayuda. |
Configuración de controladora Salt |
El archivo de configuración de la controladora Salt contiene detalles sobre la controladora Salt (anteriormente conocida como maestro de Salt), como su identificador, el puerto de publicación, el comportamiento de almacenamiento en caché, etc. |
|
Recursos de la controladora Salt |
La controladora Salt es un nodo central que se utiliza para emitir comandos a los minions. |
|
Autenticación de metadatos |
La interfaz de AUTH se utiliza para administrar usuarios, grupos y funciones a través de la API de RPC. |
Consulte rpc_auth o póngase en contacto con un administrador para obtener ayuda. |
Recursos de minions |
Los minions son nodos que ejecutan el servicio de minion, y pueden escuchar los comandos de una controladora Salt y realizar las tareas solicitadas. |
|
Pilar |
Los pilares son estructuras de datos definidas en la controladora Salt y transferidas a uno o varios minions mediante destinos. Estos elementos permiten enviar los datos confidenciales dirigidos de forma segura solo al minion relevante. |
|
Datos de regresador |
Los regresadores reciben los datos que los minions devuelven de los trabajos ejecutados. Estos elementos permiten enviar los resultados de un comando Salt a un almacén de datos determinado, como una base de datos o un archivo de registro, para su archivado. |
|
Funciones |
Las funciones se utilizan para definir permisos para varios usuarios que comparten un conjunto común de necesidades. |
|
Comandos de ejecutor |
Un comando es la tarea o las tareas que se ejecutan como parte de un trabajo. Cada comando incluye información de destino, una función y argumentos opcionales. Los ejecutores de Salt son módulos que se utilizan para ejecutar funciones de conveniencia en la controladora Salt. |
|
Evaluación de conformidad |
Una evaluación es una instancia de comprobación de una recopilación de nodos para un conjunto determinado de comprobaciones de seguridad, como se especifica en una directiva de SaltStack SecOps Compliance. |
Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Directiva de conformidad |
Las directivas de conformidad son recopilaciones de comprobaciones de seguridad, así como especificaciones sobre el nodo al que se aplica cada comprobación, en SaltStack SecOps Compliance. |
Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Corrección de conformidad |
La corrección es la acción de corregir los nodos no conformes en SaltStack SecOps Compliance. |
Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Consumo de contenido de conformidad - SaltStack |
Consumir contenido de SaltStack SecOps Compliance es descargar o actualizar la biblioteca de seguridad de SaltStack SecOps Compliance. |
Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Consumo de contenido de conformidad - Personalizado |
El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y las comprobaciones integradas en SaltStack SecOps Compliance. Consumir contenido personalizado es cargar comprobaciones y bancos de pruebas personalizados. |
Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Contenido de conformidad personalizado |
El contenido de conformidad personalizado permite definir estándares de seguridad propios para complementar la biblioteca de bancos de pruebas de seguridad y las comprobaciones integradas en SaltStack SecOps Compliance. |
Conformidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Programaciones |
Las programaciones se utilizan para ejecutar trabajos en una hora predefinida o un intervalo específico. |
|
Comandos SSH |
Los comandos de Shell seguro (Secure Shell, SSH) se ejecutan en minions que no tienen el servicio de minion instalado. |
|
Grupos de destino |
Un destino es el grupo de minions, en una o varias controladoras Salt, al que se aplica el comando de Salt de un trabajo. Una controladora Salt también se puede administrar como un minion y puede ser un destino si ejecuta el servicio de minion. |
|
Usuarios |
Los usuarios son individuos que tienen una cuenta de SaltStack Config con la organización. |
|
Evaluación de vulnerabilidad |
Una evaluación de vulnerabilidad es una instancia de análisis de una recopilación de nodos en la que se buscan vulnerabilidades como parte de una directiva de SaltStack SecOps Vulnerability. |
Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Directiva de vulnerabilidad |
Una directiva de vulnerabilidad se compone de un destino y una programación de evaluación. El destino determina qué minions se deben incluir en una evaluación y la programación indica cuándo se deben ejecutar las evaluaciones. Una directiva de seguridad también almacena los resultados de la evaluación más reciente en SaltStack SecOps Vulnerability. |
Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Corrección de vulnerabilidad |
La corrección es la acción de aplicar revisiones a las vulnerabilidades en SaltStack SecOps Vulnerability. |
Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Consumo de contenido de vulnerabilidad |
El contenido de SaltStack SecOps Vulnerability es una biblioteca de avisos basados en las últimas entradas de Vulnerabilidades y exposiciones comunes (Common Vulnerabilities and Exposures, CVE). Consumir contenido de SaltStack SecOps Vulnerability es descargar la versión más reciente de la biblioteca de contenido. |
Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Importación de proveedores de vulnerabilidad |
SaltStack SecOps Vulnerability admite la importación de los análisis de seguridad que generan diversos proveedores externos. Este permiso permite que un usuario importe los resultados de un análisis de vulnerabilidad desde un archivo o a través de un conector. De forma predeterminada, todos los usuarios de SaltStack Config pueden acceder al área de trabajo Conectores. Sin embargo, se requiere permiso para ejecutar la importación de proveedores de vulnerabilidad, así como una licencia de SaltStack SecOps Vulnerability, para que un usuario importe correctamente las vulnerabilidades desde un conector. |
Conectores: Vulnerabilidad de SaltStack SecOps - Nota: Se requiere una licencia de SaltStack SecOps. |
Comandos wheel |
Los comandos wheel controlan el funcionamiento de la controladora Salt y se utilizan para administrar claves. |
Acceso a recursos en la API
Es necesario definir el acceso a los siguientes tipos de recursos mediante la API (RaaS):
- Archivos en el servidor de archivos
- Datos de pilar
- Configuración de autenticación
Todos los demás tipos de recursos (excepto los trabajos, los destinos y los mencionados anteriormente) no requieren ninguna configuración específica de acceso a recursos.