Con el sistema de control de acceso basado en funciones (Role Based Access Control, RBAC) de SaltStack Config, es posible definir los ajustes de permisos de varios usuarios a la vez, ya que la configuración de permisos de una función se aplica a todos los usuarios incluidos en la función. Estos ajustes se pueden definir en el área de trabajo Funciones de la interfaz de usuario.

Los permisos de función se suman. Los usuarios asignados a varias funciones reciben acceso a una combinación de todos los elementos concedidos a cada función. Esto ayuda a garantizar que los usuarios con experiencias similares reciban la misma configuración de permisos, y que los usuarios con una variedad de responsabilidades tengan acceso a todo lo que necesitan.

SaltStack Config incluye una serie de funciones integradas que no se pueden eliminar. Además, es posible crear funciones definidas por el usuario para las necesidades únicas de la organización. Consulte Funciones y ajustes predeterminados.

Si desea conceder un permiso de función para completar una tarea, debe definir la tarea permitida y también asignar acceso a un recurso o un área funcional. Un permiso es una categoría amplia de acciones permitidas, mientras que el acceso a los recursos permite definir un recurso específico (por ejemplo, un trabajo o un destino) en el que se puede realizar la acción. Consulte Diferencia entre las tareas permitidas y el acceso a recursos.

El acceso a recursos para ciertos tipos de recursos y las áreas funcionales deben definirse en la API (RaaS), en lugar del editor Funciones. Consulte Acceso a recursos.

Crear una función

En algunos casos, clonar una función puede ser más conveniente que crear una nueva. Puede clonar una función existente y, a continuación, modificar el clon según sea necesario.

  1. Haga clic en Administración > Funciones en el menú lateral.
  2. Haga clic en Crear.
  3. Introduzca un nuevo nombre para la función.
  4. En Tareas, seleccione las acciones permitidas que desea conceder a la función. Para obtener una descripción de las tareas disponibles, consulte Tareas.
  5. Haga clic en Guardar.

    Ya completó los pasos mínimos necesarios para crear una función. Para obtener más información sobre cómo definir los ajustes de la función, consulte Editar una función.

Clonar una función

  1. En el área de trabajo Funciones, seleccione la función que desea clonar.
    Nota: Por motivos de seguridad, la función Superusuario integrada no se puede clonar debido a que es un nombre reservado.
  2. Haga clic en Clonar.
  3. Introduzca un nuevo nombre para la función y, a continuación, haga clic en Guardar.

    Ya completó los pasos mínimos necesarios para clonar una función. Para obtener más información sobre cómo definir los ajustes de la función, consulte Editar una función.

    Nota: De forma predeterminada, las funciones clonadas heredan las tareas permitidas de la función original. Las funciones clonadas no heredan el acceso a recursos; esto se debe definir por separado. Consulte Asignar acceso a un trabajo o destino.

Editar una función

  1. En el área de trabajo Funciones, seleccione la función que desea editar.
  2. Seleccione cualquier pestaña (Tareas, Acceso a recursos, Grupos o Usuarios) y edite los ajustes de la función según sea necesario.

    Para conocer la forma de editar cada pestaña, consulte la información a continuación.

  3. Después de realizar los cambios y antes de seleccionar una nueva pestaña, haga clic en Guardar.
Nota: La información anterior describe la forma de editar una función con el editor estándar. SaltStack Config incluye también un editor avanzado que solo se recomienda para usuarios avanzados. Para obtener más información sobre el editor avanzado, consulte Permisos avanzados.

Establecer las tareas permitidas

  1. En el área de trabajo Funciones, seleccione la función que desea editar.
  2. En Tareas, seleccione las tareas permitidas que desea asignar a la función. Las tareas representan casos de uso comunes en SaltStack Config. Al habilitar una tarea, se otorgan a la función todos los permisos necesarios para completarla.

    Para obtener descripciones de las tareas, consulte Tareas.

  3. Haga clic en Guardar.
Nota: Además de asignar un permiso, debe habilitar el acceso a los recursos específicos (como un trabajo o un destino) en los que la función debe realizar la acción. Consulte Diferencia entre las tareas permitidas y el acceso a recursos.

Asignar acceso a un trabajo o destino

  1. En el área de trabajo Funciones, seleccione la función que desea editar.
  2. En Acceso a recursos, busque el trabajo o el destino requeridos y seleccione el nivel de acceso que desea proporcionar. Por ejemplo, para permitir que una función ejecute trabajos, debe seleccionar Lectura/Ejecución para el trabajo.

    Si el recurso que desea seleccionar no se muestra, haga clic en Mostrar todos los destinos o en Mostrar todos los trabajos, respectivamente.


    mostrar trabajos de funciones

    En SaltStack Config, los trabajos y los destinos se consideran diferentes tipos de recursos. Para obtener más información sobre el acceso a recursos, consulte Acceso a recursos.

  3. Haga clic en Guardar.
Nota: Además de asignar acceso a recursos para un trabajo, también debe asignar acceso al destino en el que se debe ejecutar el trabajo y asignar el permiso para ejecutar trabajos. Consulte Diferencia entre las tareas permitidas y el acceso a recursos.

Agregar o quitar grupos

  1. En el área de trabajo Funciones, seleccione la función que desea editar.
  2. En Grupos, seleccione los grupos que desea incluir en la función.

    Los grupos se importan a través de una conexión de servicio de directorio. Si no se muestra el grupo esperado, asegúrese de haber agregado la conexión y los grupos sincronizados.

    Se archivan todos los grupos que se eliminan de la conexión del servicio de directorio. Si bien estos grupos se encuentran inactivos y los usuarios no puedan iniciar sesión, se siguen mostrando en el área de trabajo Funciones.

    Nota: Los permisos de función se suman. Los usuarios de los grupos asignados a varias funciones reciben acceso a una combinación de todos los elementos concedidos a cada función.
  3. Haga clic en Guardar.

    Se concederán todas las tareas permitidas y el acceso a recursos que se definieron en la configuración de la función a los grupos seleccionados, incluidos todos los usuarios de esos grupos.

Agregar o quitar usuarios

Los usuarios heredan los ajustes de permisos (como la asignación a una función) de los grupos a los que pertenecen. Una práctica recomendada es evitar agregar usuarios individuales a una función, sino agregar el usuario a un grupo que pertenezca a la función. Todos los usuarios nuevos se incluyen en la función Usuario de forma predeterminada. Consulte Funciones y ajustes predeterminados.

  1. En el área de trabajo Funciones, seleccione la función que desea editar.
  2. En Usuarios, seleccione los usuarios que desea incluir en la función.

    El área de trabajo Funciones permite administrar la configuración de usuarios individuales incluidos en un grupo del servicio de directorio solo después del primer inicio de sesión del usuario. Para obtener más información, consulte Autenticación con LDAP.

  3. Haga clic en Guardar.

Para obtener más información

En los siguientes artículos, se proporciona información más detallada sobre los conceptos relacionados con RBAC para SaltStack Config.