Dans certains cas, vous devrez éventuellement configurer des autorisations de rôle plus granulaires, au-delà des options disponibles dans l'onglet Tâches de l'éditeur Rôles. L'onglet Avancé fournit un contrôle plus détaillé sur les tâches qu'un rôle peut effectuer.

Types d'autorisation

Autorisation

Description

Lecture

Le rôle peut afficher un type donné de ressource ou de zone fonctionnelle. Par exemple, si vous attribuez le rôle ReadTargetGroups, le rôle peut afficher les cibles que vous spécifiez, ainsi que des détails sur chaque cible.

Exécuter

Le rôle peut exécuter un type d’opération donné. Le type d’opération autorisé peut varier, par exemple, vous pouvez attribuer l’autorisation d’exécuter des commandes arbitraires sur des minions ou d’exécuter des commandes sur des contrôleurs Salt.

Écrire

Le rôle peut créer et modifier un type donné de ressource ou de zone fonctionnelle. Par exemple, vous pouvez attribuer WriteFileServer à un rôle d'utilisateur avancé, afin que le rôle puisse créer ou modifier des fichiers dans le serveur de fichiers. Les utilisateurs disposant d'un accès en écriture peuvent modifier les ressources qu'ils ont créées, sans avoir besoin de paramètres d'accès aux ressources spécifiques.

Supprimer

Le rôle peut supprimer un type donné de ressource ou un autre élément dans une zone fonctionnelle donnée. Par exemple, vous pouvez attribuer DeletePillar à un rôle, afin que le rôle puisse supprimer un Pillar qui n'est plus utilisé. Les utilisateurs avec l'autorisation Supprimer peuvent supprimer des ressources qu'ils ont créées, sans avoir besoin de paramètres d'accès à des ressources spécifiques.

Éléments

Lors de la définition d'autorisations pour un rôle dans l'éditeur avancé, les actions ci-dessus peuvent s'appliquer aux ressources ou aux zones fonctionnelles suivantes.

Type de ressource/Zone fonctionnelle

Description

Voir également

Commandes Tous les minions

Exécutez des commandes sur la cible Tous les minions. La cible Tous les minions peut varier en fonction de la combinaison de minions accessibles par le rôle.

Administrateur

Accorde des privilèges administratifs uniquement dans l'interface utilisateur de Automation Config. Sachez que cela n'inclut pas l'accès administratif à l'API (RaaS). Il convient d'être très prudent lors de l'octroi de ce niveau d'accès à un rôle.

Définition des rôles d'utilisateur

Journal d'audit

Le journal d'audit est un enregistrement de toutes les activités dans Automation Config qui inclut des détails sur les actions de chaque utilisateur.

Pour obtenir de l'aide, reportez-vous à rpc_audit ou contactez un administrateur.

Commandes

Une commande est la tâche (ou les tâches) exécutée dans le cadre d’une tâche. Chaque commande inclut des informations sur la cible, une fonction et des arguments facultatifs.

Tâches

Serveur de fichiers

Le serveur de fichiers est un emplacement permettant de stocker des fichiers spécifiques de Salt, tels que des fichiers principaux ou des fichiers d'état, ainsi que des fichiers qui peuvent être distribués à des minions, tels que des fichiers de configuration système.

Serveur de fichiers

Groupes

Les groupes sont des collections d'utilisateurs qui partagent des caractéristiques communes et qui ont besoin de paramètres d'accès utilisateur similaires.

Définition des rôles d'utilisateur

Tâches

Les tâches servent à exécuter des tâches à distance, à appliquer des états et à démarrer des activités Salt.

Tâches

Licence

Votre licence inclut des snapshots d'utilisation, ainsi que des détails tels que le nombre de contrôleurs et de minions Salt sous licence pour votre installation et la date d'expiration de la licence.

Pour obtenir de l'aide, reportez-vous à rpc_license ou contactez un administrateur.

Configuration du contrôleur Salt

Le fichier de configuration du contrôleur Salt contient des détails sur le contrôleur Salt (anciennement appelé master Salt), tels que son ID de contrôleur Salt, le port de publication, le comportement de la mise en cache, etc.

Référence de configuration du master Salt

Ressources du contrôleur Salt

Le contrôleur Salt est un nœud central utilisé pour émettre des commandes aux minions.

Référence du master Salt

Authentification par métadonnées

L'interface AUTH est utilisée pour gérer les utilisateurs, les groupes et les rôles via l'API RPC.

Pour obtenir de l'aide, reportez-vous à rpc_auth ou contactez un administrateur.

Ressources de minion

Les minions sont des nodes exécutant le service minion, qui peut écouter les commandes d’un contrôleur Salt et effectuer les tâches demandées.

Pillar

Les Pillars sont des structures de données définies sur le contrôleur Salt et transmises à un ou plusieurs minions à l'aide de cibles. Ils permettent l'envoi sécurisé de données confidentielles et ciblées uniquement au minion approprié.

Création de fichiers d'état et de données de Pillar

Données de système de retour

Les systèmes de retour reçoivent les données que les minions renvoient à partir des tâches exécutées. Ils permettent l'envoi des résultats d'une commande Salt à une banque de données spécifique telle qu'une base de données ou un fichier journal pour archivage.

Référence de système de retour

Rôles

Les rôles servent à définir des autorisations pour plusieurs utilisateurs qui partagent un ensemble commun de besoins.

Définition des rôles d'utilisateur

Commandes d'exécuteur

Une commande est la tâche (ou les tâches) exécutée dans le cadre d’une tâche. Chaque commande inclut des informations sur la cible, une fonction et des arguments facultatifs. Les exécuteurs Salt sont des modules utilisés pour exécuter des fonctions pratiques sur le contrôleur Salt.

Tâches

Évaluation de la conformité

Une évaluation est une instance de vérification d'un ensemble de nœuds pour un ensemble donné de contrôles de sécurité, tels que spécifiés dans une stratégie Automation for Secure Hosts Compliance Cloud.

Utilisation et gestion de Secure Hosts

Note : Une licence Automation for Secure Hosts est requise.

Stratégie de conformité

Les stratégies de conformité sont des collections de contrôles de sécurité et de spécifications des nœuds pour lesquels chaque contrôle s'applique dans Automation for Secure Hosts Compliance Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Correction de conformité

La correction est l'action visant à corriger des nœuds non conformes dans Automation for Secure Hosts Compliance Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Ingestion de contenu de conformité - Automation Config

L'ingestation de contenu Automation for Secure Hosts Compliance Cloud consiste à télécharger ou à mettre à jour la bibliothèque de sécurité de Automation for Secure Hosts Compliance Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Ingestion de contenu de conformité - personnalisé

Le contenu de conformité personnalisé vous permet de définir vos propres normes de sécurité, pour compléter la bibliothèque de références et de contrôles de sécurité intégrés dans Automation for Secure Hosts Compliance Cloud. L'ingestion de contenu personnalisé consiste à importer des contrôles et des références personnalisés.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Contenu personnalisé de conformité

Le contenu de conformité personnalisé vous permet de définir vos propres normes de sécurité, pour compléter la bibliothèque de références et de contrôles de sécurité intégrés dans Automation for Secure Hosts Compliance Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Planifications

Les planifications sont utilisées pour exécuter des tâches à un moment prédéfini ou selon un intervalle spécifique.

Tâches

Commandes SSH

Les commandes Secure Shell (SSH) s'exécutent sur des minions sur lesquels le service de minion n'est pas installé.

Référence Salt SSH

Groupes cibles

Une cible est le groupe de minions, dans un ou plusieurs contrôleurs Salt, auquel s'applique la commande Salt d'une tâche. Un contrôleur Salt peut également être géré comme un minion et peut être une cible s'il exécute le service de minion.

Utilisation de l'espace de travail Cibles

Utilisateurs

Les utilisateurs sont des personnes qui ont un compte Automation Config dans votre organisation.

Définition des rôles d'utilisateur

Évaluation de la vulnérabilité

Une évaluation de la vulnérabilité est une instance d'analyse d'un ensemble de nœuds à la recherche de vulnérabilités dans le cadre d'une stratégie Automation for Secure Hosts Vulnerability Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Stratégie de vulnérabilité

Une stratégie de vulnérabilité est composée d’une cible et d’une planification d’évaluation. La cible détermine les minions à inclure dans une évaluation et la planification détermine quand les évaluations seront effectuées. Une stratégie de sécurité stocke également les résultats de l'évaluation la plus récente dans Automation for Secure Hosts Vulnerability Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Correction de la vulnérabilité

L'action de correction porte sur les vulnérabilités de Automation for Secure Hosts Vulnerability Cloud.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Ingestion de contenu de vulnérabilité

Le contenu de Automation for Secure Hosts Vulnerability Cloud est une bibliothèque d'avis basés sur les dernières entrées CVE (Common Vulnerabilities and Exposures). L'ingestion du contenu Automation for Secure Hosts Vulnerability Cloud consiste à télécharger la dernière version de la bibliothèque de contenu.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Importation du fournisseur de vulnérabilité

Automation for Secure Hosts Vulnerability Cloud prend en charge l'importation d'analyses de sécurité générées par divers fournisseurs tiers. Cette autorisation permet à un utilisateur d'importer des résultats d'analyse de vulnérabilité à partir d'un fichier ou d'un connecteur.

Par défaut, tous les utilisateurs de Automation Config peuvent accéder à l'espace de travail Connecteurs. Cependant, l'autorisation d'exécuter l'importation du fournisseur de vulnérabilité ainsi qu'une licence Automation for Secure Hosts Vulnerability Cloud sont requises pour qu'un utilisateur importe correctement des vulnérabilités à partir d'un connecteur.

Utilisation et gestion de Secure Hosts
Note : Une licence Automation for Secure Hosts est requise.

Commandes Wheel

Les commandes Wheel contrôlent le fonctionnement du contrôleur Salt et sont utilisées pour gérer les clés.

Référence Salt Wheel

Accès aux ressources dans l'API

L'accès aux types de ressource suivants doit être défini à l'aide de l'API (RaaS) :

  • Fichiers dans le serveur de fichiers
  • Données du Pillar
  • Configuration de l'authentification

Tous les autres types de ressources, à l’exception des tâches, des cibles et de ceux répertoriés ci-dessus, n’ont pas besoin de paramètres d’accès aux ressources spécifiques.