Come definire i ruoli utente

Con il sistema di controllo degli accessi basato sui ruoli (RBAC) di Automation Config, è possibile definire le impostazioni delle autorizzazioni per più utenti contemporaneamente, poiché le impostazioni delle autorizzazioni per un ruolo si applicano a tutti gli utenti inclusi nel ruolo. È possibile definire queste impostazioni nell'area di lavoro Ruoli nell'interfaccia utente.

Automation Config contiene molti ruoli predefiniti che non possono essere eliminati.

Utente: il ruolo predefinito assegnato a tutti i nuovi utenti locali, SSO e LDAP. Il ruolo Utente include le autorizzazioni fondamentali, ad esempio l'accesso in lettura, necessarie per eseguire molte funzioni di base. Gli utenti assegnati a questo ruolo possono visualizzare ed eseguire processi, nonché visualizzare la cronologia dei processi, i risultati dei processi e i report di alcuni minion e tipi di processi, limitati alle impostazioni di accesso alle risorse del ruolo.
Amministratore: questo ruolo richiede l'accesso a strumenti più avanzati rispetto al ruolo Utente e quindi può accedere all'amministrazione del sistema. Gli amministratori possono visualizzare (e in alcuni casi, modificare) i dati sensibili che si trovano nei pillar e nelle impostazioni dell'utente. Il ruolo può creare, aggiornare ed eliminare risorse come file, processi e destinazioni. Gli amministratori possono inoltre gestire le chiavi in base alle necessità durante la configurazione di nuovi nodi.
Utente con privilegi avanzati: gli utenti con privilegi avanzati possono eseguire qualsiasi operazione in Automation Config, inclusi l'accesso all'amministrazione del sistema e l'accettazione delle chiavi master. root è assegnato al ruolo Utente con privilegi avanzati. Non è possibile eliminare o clonare il ruolo. È possibile aggiungere qualsiasi gruppo o utente al ruolo, ma non è possibile modificare le altre impostazioni del ruolo. È consigliabile aggiungere solo utenti avanzati al ruolo Utente con privilegi avanzati, perché di fatto concede tutte le autorizzazioni senza alcuna limitazione.

Inoltre, è possibile creare ruoli personalizzati per le esigenze univoche della propria organizzazione.

Per assegnare a un ruolo l'autorizzazione a completare un'attività, è necessario definire sia l'attività consentita sia assegnare l'accesso a una risorsa o a un'area funzionale. Un'autorizzazione è una vasta categoria di azioni consentite, mentre l'accesso alle risorse consente di definire una risorsa specifica (ad esempio un processo o una destinazione) in cui è possibile eseguire l'azione.

L'accesso alle risorse per determinati tipi di risorse e aree funzionali deve essere definito nell'API (RaaS) anziché nell'editor Ruoli.

Dopo aver creato un ruolo, è possibile scegliere di clonarlo, impostare attività consentite e assegnare l'accesso a un processo o a una destinazione.

Per definire un ruolo per i controlli degli accessi basati sui ruoli (RBAC) in Automation Config, è necessario definire l'attività consentita e assegnare l'accesso alle risorse. Un'attività è un'operazione specifica che può essere eseguita nell'interfaccia utente, ad esempio la creazione, la modifica o l'esecuzione di un processo. Una risorsa è un elemento dell'ambiente, ad esempio master, minion, destinazioni, dati di file specifici.

Un'attività consentita è un'ampia categoria di azioni consentite, mentre l'accesso alle risorse è più granulare e consente di specificare una determinata risorsa (come un processo o una destinazione) su cui è possibile eseguire l'azione.

In questo esempio, un ruolo può eseguire test.ping nel gruppo di destinazione Linux con le seguenti impostazioni delle autorizzazioni:

Accesso in lettura alla destinazione Linux
Accesso in lettura/esecuzione a un processo che include il comando test.ping

Attività

La scheda Attività include le opzioni seguenti.


Attività	Descrizione
Creazione ed eliminazione di nuove destinazioni	Il ruolo può creare nuove destinazioni. Gli utenti assegnati a questo ruolo possono modificare ed eliminare le destinazioni create da loro o altre destinazioni definite in Accesso alle risorse. Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. Vedere Come creare le destinazioni. Nota: Automation Config non supporta l'utilizzo di questa autorizzazione per limitare i ruoli alla creazione di destinazioni solo all'interno di un gruppo specifico di minion. Questa autorizzazione consente agli utenti di creare qualsiasi destinazione da loro scelta.
Modifica dei dati dei pillar	Il ruolo può visualizzare, modificare ed eliminare le informazioni riservate archiviate nei pillar. Gli utenti appartenenti al ruolo possono modificare o eliminare i pillar creati da essi. Possono anche modificare o eliminare altri pillar se è stato concesso loro l'accesso alle risorse (disponibile solo tramite l'API (RaaS)). I pillar sono strutture di dati definiti nel Salt Master e passati a uno o più minion tramite le destinazioni. Consentono l'invio sicuro di dati riservati solo al minion pertinente. Vedere Come creare file di stato e dati dei pillar.
Modifica del file server	Il ruolo può visualizzare il file server e può creare, modificare o eliminare file. Gli utenti appartenenti al ruolo possono modificare o eliminare i file che hanno creato. Possono anche modificare o eliminare altri file se è stato concesso loro l'accesso alle risorse (disponibile solo tramite l'API (RaaS)). Il file server è una posizione per l'archiviazione sia dei file specifici di Salt, come i file top o di stato, sia dei file che possono essere distribuiti ai minion, ad esempio i file di configurazione del sistema. Vedere Come creare file di stato e dati dei pillar.
Esecuzione di comandi arbitrari nei minion	Il ruolo può attivare comandi al di fuori di un processo affinché il Salt Master li possa selezionare. Il ruolo non si limita all'esecuzione dei soli comandi inclusi nella definizione di un determinato processo. I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste.
Accettazione, eliminazione e rifiuto delle chiavi dei minion	Il ruolo può accettare, eliminare e rifiutare le chiavi dei minion in base alla configurazione iniziale. Le chiavi dei minion consentono la comunicazione crittografata tra un Salt Master e un minion di Salt. Il ruolo Utente con privilegi avanzati è necessario per accettare le chiavi dei minion.
Lettura e modifica di utenti, ruoli e autorizzazioni	Il ruolo può visualizzare gli utenti e i dati associati, nonché modificare le impostazioni dei ruoli e delle autorizzazioni. Nota: questa attività si applica solo ai ruoli amministratore e utente con privilegi avanzati integrati. I ruoli vengono utilizzati per definire le autorizzazioni per più utenti che condividono esigenze comuni.
Esecuzione dei comandi sui Salt Master	Il ruolo può eseguire comandi sui Salt Master, ad esempio per eseguire l'orchestrazione. I comandi eseguiti rispetto al Salt Master sono denominati anche runner Salt. I runner Salt sono moduli utilizzati per semplificare l'esecuzione di funzioni nel Salt Master. Vedere Come creare processi. L'aggiunta di questa autorizzazione consente al ruolo di utilizzare l'opzione salt-run nella funzionalità Esegui comando sotto la scheda Minion e nell'area di lavoro Destinazioni.
Conformità: creazione, modifica, eliminazione e valutazione	Il ruolo può creare, modificare, eliminare e valutare i criteri di Automation for Secure Hosts Compliance Cloud. Oltre a concedere l'autorizzazione per questa attività, è inoltre necessario definire l'accesso alle risorse per tutte le destinazioni in cui si desidera che il ruolo esegua azioni. Ad esempio, se si desidera che il ruolo `OracleLinuxAdmin` definisca i criteri per una destinazione `OracleLinux`, si assegnano entrambe le autorizzazioni al ruolo per completare questa attività e l'accesso in lettura alla destinazione `OracleLinux`. Questa attività non consente al ruolo di correggere i criteri di Automation for Secure Hosts Compliance Cloud. Automation for Secure Hosts Compliance Cloud è un componente aggiuntivo di Automation Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di Secure Hosts. Nota: È richiesta una licenza di Automation for Secure Hosts.
Conformità: correzione	Il ruolo può correggere qualsiasi minion non conforme rilevato in una valutazione di Automation for Secure Hosts Compliance Cloud. Automation for Secure Hosts Compliance Cloud è un componente aggiuntivo di Automation Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di Secure Hosts. Nota: È richiesta una licenza di Automation for Secure Hosts.
Conformità: aggiornamento dei contenuti di Automation Config	Il ruolo può scaricare gli aggiornamenti della libreria di sicurezza di Automation for Secure Hosts Compliance Cloud.
Vulnerabilità: creazione, modifica, eliminazione e valutazione	Il ruolo può creare, modificare, eliminare e valutare i criteri di Automation for Secure Hosts Vulnerability Cloud. Oltre a concedere l'autorizzazione per questa attività, è inoltre necessario definire l'accesso alle risorse per tutte le destinazioni rispetto alle quali si desidera che il ruolo esegua le valutazioni. Questa attività non consente al ruolo di correggere i criteri di Automation for Secure Hosts Vulnerability Cloud. Automation for Secure Hosts Compliance Cloud è un componente aggiuntivo di Automation Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di Secure Hosts. Nota: È richiesta una licenza di Automation for Secure Hosts.
Vulnerabilità: correzione	Il ruolo può correggere le vulnerabilità rilevate in una valutazione di Automation for Secure Hosts Vulnerability Cloud. Automation for Secure Hosts Vulnerability Cloud è un componente aggiuntivo di Automation Config che gestisce le vulnerabilità in tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di Secure Hosts. Nota: È richiesta una licenza di Automation for Secure Hosts.

Accesso alle risorse

La scheda Accesso alle risorse consente di definire l'accesso alle risorse per destinazioni e processi. Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. I processi vengono utilizzati per eseguire le attività di esecuzione remote, applicare gli stati e avviare i runner Salt.

Nota: I tipi di risorse non definiti nella tabella non richiedono alcuna impostazione di accesso alle risorse specifica.


Tipo di risorsa	Livelli di accesso
Destinazioni	Sola lettura: il ruolo può visualizzare la destinazione indicata e i relativi dettagli, ma non può modificarlo o eliminarlo. Lettura/scrittura: il ruolo può visualizzare e modificare la destinazione indicata. Lettura/scrittura/eliminazione: il ruolo può visualizzare, modificare ed eliminare la destinazione indicata.
Processi	Sola lettura: il ruolo può visualizzare il processo indicato e i relativi dettagli, ma non può modificarlo o eliminarlo oppure eseguirlo. Lettura/esecuzione: il ruolo può visualizzare ed eseguire il processo indicato. Lettura/esecuzione/scrittura: il ruolo può visualizzare e modificare il processo indicato ed eseguirlo. Lettura/esecuzione/scrittura/eliminazione: il ruolo può visualizzare, modificare ed eliminare il processo indicato ed eseguirlo. Per ulteriori informazioni, vedere Come creare processi.
Altri tipi di risorse: è necessario definire l'accesso ai seguenti tipi di risorse utilizzando l'API (RaaS) File nel file server Dati dei pillar Configurazione dell'autenticazione	Definito nell'API (RaaS)

Prerequisiti

Per definire i ruoli utente, è necessario disporre dell'accesso come amministratore.

Procedura

Nel menu laterale, fare clic su Amministrazione > Ruoli.
Fare clic su Crea e immettere un nome per il ruolo.
In Attività, selezionare le azioni consentite per concedere il ruolo.
Fare clic su Salva.
Per assegnare l'accesso a un processo oppure a una destinazione, selezionare il ruolo nell'area di lavoro Ruoli, individuare il processo o la destinazione necessari in Accesso alle risorse e selezionare il livello di accesso desiderato. Ad esempio, per consentire a un ruolo di eseguire processi, selezionare Lettura/Esecuzione e fare clic su Salva.
(Facoltativo) Per includere gruppi, selezionare il ruolo nell'area di lavoro Ruoli, selezionare i gruppi da includere in Gruppi e quindi fare clic su Salva.

Nota: Le autorizzazioni dei ruoli sono aggiuntive. Gli utenti nei gruppi assegnati a più ruoli ricevono l'accesso a una combinazione di tutti gli elementi concessi da ciascun ruolo. Ai gruppi selezionati, inclusi tutti gli utenti in tali gruppi, viene concesso l'accesso a tutte le attività e le risorse consentite definite nelle impostazioni del ruolo.
(Facoltativo) Per clonare un ruolo, selezionare il ruolo nell'area di lavoro Ruoli, fare clic su Clona, immettere un nuovo nome per il ruolo e quindi fare clic su Salva.

Nota: Per impostazione predefinita, i ruoli clonati ereditano le attività consentite dal ruolo originale. I ruoli clonati non ereditano l'accesso alle risorse che deve essere definito separatamente.
(Facoltativo) In alcune situazioni potrebbe essere necessario configurare autorizzazioni più granulari. Per concedere le autorizzazioni avanzate, fare clic su Amministrazione > Ruoli > Avanzate, selezionare il ruolo e selezionare o deselezionare autorizzazioni aggiuntive. Fare clic su Salva. Per ulteriori informazioni sulle autorizzazioni avanzate e sui tipi di elementi, vedere Autorizzazioni avanzate e tipi di elementi.

Nota: Le autorizzazioni minime consigliate per le operazioni utente tipiche sono evidenziate in blu.