Avec le système RBAC (Role Based Access Control, contrôle d'accès basé sur les rôles) de SaltStack Config, vous pouvez définir des paramètres d'autorisation pour plusieurs utilisateurs à la fois, car les paramètres d'autorisation d'un rôle s'appliquent à tous les utilisateurs inclus dans le rôle. Vous pouvez définir ces paramètres dans l'espace de travail Rôles de l'interface utilisateur.

Les autorisations de rôle sont cumulatives. Les utilisateurs attribués à plusieurs rôles obtiennent l'accès à une combinaison de tous les éléments accordés par chaque rôle. Cela permet de s'assurer que les utilisateurs ayant des antécédents similaires reçoivent les mêmes paramètres d'autorisation et que les utilisateurs ayant diverses responsabilités ont accès à tout ce dont ils ont besoin.

SaltStack Config est fourni avec un certain nombre de rôles intégrés qui ne peuvent pas être supprimés. En outre, vous pouvez créer des rôles personnalisés pour les besoins uniques de votre organisation. Reportez-vous à la section Rôles et paramètres par défaut.

Pour autoriser un rôle à exécuter une tâche, vous devez définir la tâche autorisée et également attribuer l'accès à une ressource ou à une zone fonctionnelle. Une autorisation est une large catégorie d'actions autorisées, tandis que l'accès aux ressources vous permet de définir une ressource spécifique (par exemple, une tâche ou une cible) sur laquelle l'action peut être effectuée. Reportez-vous à la section Différence entre tâches autorisées et accès aux ressources.

L'accès aux ressources pour certains types de ressources et zones fonctionnelles doit être défini dans l'API (RaaS) plutôt que dans l'éditeur de rôles. Reportez-vous à la section Accès aux ressources.

Création d’un rôle

Dans certains cas, il peut être plus pratique de cloner un rôle que de le créer. Vous pouvez cloner un rôle existant, puis modifier le clone si nécessaire.

  1. Dans le menu latéral, cliquez sur Administration > Rôles.
  2. Cliquez sur Créer.
  3. Entrez un nouveau nom pour votre rôle.
  4. Sous Tâches, sélectionnez les actions autorisées pour accorder le rôle. Pour obtenir une description des tâches disponibles, reportez-vous à la section Tâches.
  5. Cliquez sur Enregistrer.

    Vous avez effectué les étapes minimales nécessaires à la création d’un rôle. Pour plus d'informations sur la définition des paramètres de rôle, reportez-vous à la section Modification d’un rôle.

Cloner un rôle

  1. Dans l'espace de travail Rôles, sélectionnez le rôle que vous souhaitez cloner.
    Note : Pour des raisons de sécurité, le rôle superutiliseur intégré ne peut pas être cloné, car il s'agit d'un nom réservé.
  2. Cliquez sur Cloner.
  3. Entrez un nouveau nom pour votre rôle, puis cliquez sur Enregistrer.

    Vous avez effectué les étapes minimales nécessaires pour cloner un rôle. Pour plus d'informations sur la définition des paramètres de rôle, reportez-vous à la section Modification d’un rôle.

    Note : Les rôles clonés héritent par défaut des tâches autorisées du rôle d'origine. Les rôles clonés n'héritent pas de l'accès aux ressources, qui doit être défini séparément. Reportez-vous à la section Attribution de l'accès à une tâche ou à une cible.

Modification d’un rôle

  1. Dans l'espace de travail Rôles, sélectionnez le rôle que vous souhaitez modifier.
  2. Sélectionnez n'importe quel onglet (Tâches, Accès aux ressources, Groupes ou Utilisateurs) et modifiez les paramètres de rôle si nécessaire.

    Pour plus d'informations sur la modification de chaque onglet, voir ci-dessous.

  3. Cliquez sur Enregistrer après avoir apporté des modifications, avant de sélectionner un nouvel onglet.
Note : Les informations ci-dessus décrivent comment modifier un rôle à l'aide de l'éditeur standard. SaltStack Config inclut également un éditeur avancé recommandé uniquement pour les utilisateurs avancés. Pour plus d'informations sur l'éditeur avancé, reportez-vous à la section Autorisations avancées.

Définition des tâches autorisées

  1. Dans l'espace de travail Rôles, sélectionnez le rôle que vous souhaitez modifier.
  2. Sous Tâches, sélectionnez les tâches autorisées à attribuer au rôle. Les tâches représentent des cas d'utilisation courants de SaltStack Config. L'activation d'une tâche accorde au rôle toutes les autorisations requises pour exécuter la tâche.

    Pour la description des tâches, reportez-vous à la section Tâches.

  3. Cliquez sur Enregistrer.
Note : En plus d’attribuer une autorisation, vous devez activer l’accès aux ressources spécifiques (telles qu’une tâche ou une cible) pour que le rôle effectue l’action. Reportez-vous à la section Différence entre tâches autorisées et accès aux ressources.

Attribution de l'accès à une tâche ou à une cible

  1. Dans l'espace de travail Rôles, sélectionnez le rôle que vous souhaitez modifier.
  2. Sous Accès aux ressources, localisez la tâche ou la cible requise et sélectionnez le niveau d'accès que vous souhaitez fournir. Par exemple, pour autoriser un rôle à exécuter des tâches, vous sélectionnez Lire/Exécuter pour la tâche.

    Si la ressource que vous souhaitez sélectionner ne s'affiche pas, cliquez sur Afficher toutes les cibles ou Afficher toutes les tâches respectivement.


    roles-show-jobs

    Dans SaltStack Config, les tâches et les cibles sont considérées comme différents types de ressources. Pour plus d'informations sur l'accès aux ressources, reportez-vous à la section Accès aux ressources.

  3. Cliquez sur Enregistrer.
Note : Outre l'attribution d'un accès aux ressources pour une tâche, vous devez également attribuer l'accès à une cible pour y exécuter la tâche et attribuer l'autorisation d'exécuter des tâches. Reportez-vous à la section Différence entre tâches autorisées et accès aux ressources.

Ajout ou suppression de groupes

  1. Dans l'espace de travail Rôles, sélectionnez le rôle que vous souhaitez modifier.
  2. Sous Groupes, sélectionnez les groupes que vous souhaitez inclure dans le rôle.

    Les groupes sont importés via une connexion au service d’annuaire. Si vous ne voyez pas le groupe attendu, assurez-vous d'avoir ajouté la connexion et synchronisé les groupes.

    Tous les groupes que vous supprimez de votre connexion au service d’annuaire sont archivés. Même s'ils sont inactifs et que les utilisateurs ne peuvent pas se connecter, ils sont toujours visibles dans l'espace de travail Rôles.

    Note : Les autorisations de rôle sont cumulatives. Les utilisateurs des groupes attribués à plusieurs rôles obtiennent accès à une combinaison de tous les éléments accordés à partir de chaque rôle.
  3. Cliquez sur Enregistrer.

    Les groupes sélectionnés, y compris tous les utilisateurs de ces groupes, se sont vus accorder toutes les tâches autorisées et l’accès aux ressources définis dans les paramètres de rôle.

Ajout ou suppression d’utilisateurs

Les utilisateurs héritent des paramètres d'autorisation (par exemple, l'attribution d'un rôle) des groupes auxquels ils appartiennent. Il est préférable d'éviter d'ajouter des utilisateurs individuels à un rôle, mais plutôt d'ajouter l'utilisateur à un groupe qui appartient au rôle. Tous les nouveaux utilisateurs sont inclus dans le rôle Utilisateur par défaut. Reportez-vous à la section Rôles et paramètres par défaut.

  1. Dans l'espace de travail Rôles, sélectionnez le rôle que vous souhaitez modifier.
  2. Sous Utilisateurs, sélectionnez les utilisateurs que vous souhaitez inclure dans le rôle.

    L'espace de travail Rôles vous permet de gérer les paramètres des utilisateurs individuels inclus dans un groupe Service d'annuaire uniquement après la première connexion de l'utilisateur. Pour plus d'informations, reportez-vous à la section Authentication avec LDAP.

  3. Cliquez sur Enregistrer.

Pour plus d'informations

Les articles suivants fournissent des informations plus détaillées sur les concepts liés à RBAC pour SaltStack Config.