Attenersi alle procedure consigliate e alle linee guida sulla sicurezza quando si distribuiscono Automation Config e Salt nel proprio ambiente.
Sicurezza di Salt
Consultare queste guide per assicurarsi che nell'ambiente vengano eseguite le seguenti procedure consigliate durante l'implementazione di Salt nell'infrastruttura:
Disconnessione automatica se inattivo
È possibile impostare la disconnessione automatica su un valore basso, ad esempio 1 minuto, fino a 60 minuti. Il valore predefinito è 30 minuti. Per ulteriori informazioni sulla modifica di questa e di altre preferenze, vedere Terminologia di Automation Config.
Autorizzazioni
Assicurarsi di limitare l'accesso alle seguenti attività. Per ulteriori informazioni sulla definizione delle autorizzazioni, vedere Come definire i ruoli utente.
Creazione e modifica dei processi
Consente di limitare l'accesso degli utenti alla creazione e alla modifica dei processi. Questi privilegi consentono all'utente di eseguire qualsiasi comando nel sistema. Insieme alle autorizzazioni di creazione e modifica delle destinazioni, consentono di eseguire qualsiasi comando su qualsiasi minion.
Creazione e modifica delle destinazioni
Consente di limitare l'accesso degli utenti alla creazione e alla modifica delle destinazioni. Questi privilegi, insieme all'autorizzazione di creazione e modifica dei processi, consentono di eseguire i processi disponibili in qualsiasi minion nel sistema.
Creazione e modifica dei ruoli
Consente di limitare l'accesso degli utenti alla creazione e alla modifica dei ruoli. Questi privilegi consentono di assegnare a se stessi qualsiasi privilegio nel sistema.
Credenziali crittografate
Credenziali di accesso API (RaaS)
Consentono di connettere i Salt Master all'API (RaaS) tramite l'autenticazione con chiave pubblica (predefinita), anziché mediante l'autenticazione tramite nome utente.
Credenziali del database
Consente di archiviare le credenziali del database sia per PostgreSQL che per Redis in un file crittografato, anziché in testo normale.
Per ulteriori informazioni sull'archiviazione delle credenziali, vedere Protezione delle credenziali nella configurazione.