Con il sistema di controllo degli accessi basato sui ruoli (RBAC) di SaltStack Config, è possibile definire le impostazioni delle autorizzazioni per più utenti contemporaneamente, perché le impostazioni delle autorizzazioni per un ruolo vengono applicate a tutti gli utenti inclusi nel ruolo. È possibile definire queste impostazioni nell'area di lavoro Ruoli nell'interfaccia utente.

SaltStack Config contiene molti ruoli predefiniti che non possono essere eliminati.
  • Utente: il ruolo predefinito assegnato a tutti i nuovi utenti locali, SSO e LDAP. Il ruolo Utente include le autorizzazioni fondamentali, ad esempio l'accesso in lettura, necessarie per eseguire molte funzioni di base. Gli utenti assegnati a questo ruolo possono visualizzare ed eseguire processi, nonché visualizzare la cronologia dei processi, i risultati dei processi e i report di alcuni minion e tipi di processi, limitati alle impostazioni di accesso alle risorse del ruolo.
  • Amministratore: questo ruolo richiede l'accesso a strumenti più avanzati rispetto al ruolo Utente e quindi può accedere all'amministrazione del sistema. Gli amministratori possono visualizzare (e in alcuni casi, modificare) i dati sensibili che si trovano nei pillar e nelle impostazioni dell'utente. Il ruolo può creare, aggiornare ed eliminare risorse come file, processi e destinazioni. Gli amministratori possono inoltre gestire le chiavi in base alle necessità durante la configurazione di nuovi nodi.
  • Utente con privilegi avanzati: gli utenti con privilegi avanzati possono eseguire qualsiasi operazione in SaltStack Config, incluso l'accesso all'amministrazione del sistema. root è assegnato al ruolo Utente con privilegi avanzati. Non è possibile eliminare o clonare il ruolo. È possibile aggiungere qualsiasi gruppo o utente al ruolo, ma non è possibile modificare le altre impostazioni del ruolo. È consigliabile aggiungere solo utenti avanzati al ruolo Utente con privilegi avanzati, perché di fatto concede tutte le autorizzazioni senza alcuna limitazione.

Inoltre, è possibile creare ruoli personalizzati per le esigenze univoche della propria organizzazione.

Per assegnare a un ruolo l'autorizzazione a completare un'attività, è necessario definire sia l'attività consentita sia assegnare l'accesso a una risorsa o a un'area funzionale. Un'autorizzazione è una vasta categoria di azioni consentite, mentre l'accesso alle risorse consente di definire una risorsa specifica (ad esempio un processo o una destinazione) in cui è possibile eseguire l'azione.

L'accesso alle risorse per determinati tipi di risorse e aree funzionali deve essere definito nell'API (RaaS) anziché nell'editor Ruoli.

Dopo aver creato un ruolo, è possibile scegliere di clonarlo, impostare attività consentite e assegnare l'accesso a un processo o a una destinazione.

Per definire un ruolo per il controllo degli accessi basato sui ruoli (RBAC) in SaltStack Config, è necessario definire l'attività consentita e assegnare l'accesso alle risorse. Un'attività è un'operazione specifica che può essere eseguita nell'interfaccia utente, ad esempio la creazione, la modifica o l'esecuzione di un processo. Una risorsa è un elemento dell'ambiente, ad esempio master, minion, destinazioni, dati di file specifici.

Un'attività consentita è un'ampia categoria di azioni consentite, mentre l'accesso alle risorse è più granulare e consente di specificare una determinata risorsa (come un processo o una destinazione) su cui è possibile eseguire l'azione.


permissions-resources-concept

In questo esempio, un ruolo può eseguire test.ping nel gruppo di destinazione Linux con le seguenti impostazioni delle autorizzazioni:

  • Accesso in lettura alla destinazione Linux
  • Accesso in lettura/esecuzione a un processo che include il comando test.ping

permissions-resources-example

Attività

La scheda Attività include le opzioni seguenti.

Attività

Descrizione

Creazione ed eliminazione di nuove destinazioni

Il ruolo può creare nuove destinazioni. Gli utenti assegnati a questo ruolo possono modificare ed eliminare le destinazioni create da loro o altre destinazioni definite in Accesso alle risorse.

Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. Vedere Come creare le destinazioni.

Modifica dei dati dei pillar

Il ruolo può visualizzare, modificare ed eliminare le informazioni riservate archiviate nei pillar. Gli utenti appartenenti al ruolo possono modificare o eliminare i pillar creati da essi. Possono anche modificare o eliminare altri pillar se è stato concesso loro l'accesso alle risorse (disponibile solo tramite l'API (RaaS)).

I pillar sono strutture di dati definiti nel Salt Master e passati a uno o più minion tramite le destinazioni. Consentono l'invio sicuro di dati riservati solo al minion pertinente. Vedere Come creare file di stato e dati dei pillar.

Modifica del file server

Il ruolo può visualizzare il file server e può creare, modificare o eliminare file. Gli utenti appartenenti al ruolo possono modificare o eliminare i file che hanno creato. Possono anche modificare o eliminare altri file se è stato concesso loro l'accesso alle risorse (disponibile solo tramite l'API (RaaS)).

Il file server è una posizione per l'archiviazione sia dei file specifici di Salt, come i file top o di stato, sia dei file che possono essere distribuiti ai minion, ad esempio i file di configurazione del sistema. Vedere Come creare file di stato e dati dei pillar.

Esecuzione di comandi arbitrari nei minion

Il ruolo può attivare comandi al di fuori di un processo affinché il Salt Master li possa selezionare. Il ruolo non si limita all'esecuzione dei soli comandi inclusi nella definizione di un determinato processo.

I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste.

Accettazione, eliminazione e rifiuto delle chiavi

Il ruolo può accettare, eliminare e rifiutare le chiavi dei minion in base alla configurazione iniziale.

Le chiavi dei minion consentono la comunicazione crittografata tra un Salt Master e un minion di Salt.

Lettura e modifica di utenti, ruoli e autorizzazioni

Il ruolo può visualizzare gli utenti e i dati associati, nonché modificare le impostazioni dei ruoli e delle autorizzazioni.

Nota: questa attività si applica solo ai ruoli amministratore e utente con privilegi avanzati integrati.

I ruoli vengono utilizzati per definire le autorizzazioni per più utenti che condividono esigenze comuni.

Esecuzione dei comandi sui Salt Master

Il ruolo può eseguire comandi sui Salt Master, ad esempio per eseguire l'orchestrazione.

I comandi eseguiti rispetto al Salt Master sono denominati anche runner Salt. I runner Salt sono moduli utilizzati per semplificare l'esecuzione di funzioni nel Salt Master. Vedere Come creare processi. L'aggiunta di questa autorizzazione consente al ruolo di utilizzare l'opzione salt-run nella funzionalità Esegui comando sotto la scheda Minion e nell'area di lavoro Destinazioni.

Conformità: creazione, modifica, eliminazione e valutazione

Il ruolo può creare, modificare, eliminare e valutare i criteri di SaltStack SecOps Compliance. Oltre a concedere l'autorizzazione per questa attività, è inoltre necessario definire l'accesso alle risorse per tutte le destinazioni in cui si desidera che il ruolo esegua azioni. Ad esempio, se si desidera che il ruolo OracleLinuxAdmin definisca i criteri per una destinazione OracleLinux, si assegnano entrambe le autorizzazioni al ruolo per completare questa attività e l'accesso in lettura alla destinazione OracleLinux.

Questa attività non consente al ruolo di correggere i criteri di SaltStack SecOps Compliance.

SaltStack SecOps Compliance è un componente aggiuntivo di SaltStack Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.

Nota:

È richiesta una licenza di SaltStack SecOps.

Conformità: correzione

Il ruolo può correggere qualsiasi minion non conforme rilevato in una valutazione di SaltStack SecOps Compliance.

SaltStack SecOps Compliance è un componente aggiuntivo di SaltStack Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.

Nota:

È richiesta una licenza di SaltStack SecOps.

Conformità: aggiornamento dei contenuti di SaltStack

Il ruolo può scaricare gli aggiornamenti della libreria di sicurezza di SaltStack SecOps Compliance.

Vulnerabilità: creazione, modifica, eliminazione e valutazione

Il ruolo può creare, modificare, eliminare e valutare i criteri di SaltStack SecOps Vulnerability. Oltre a concedere l'autorizzazione per questa attività, è inoltre necessario definire l'accesso alle risorse per tutte le destinazioni rispetto alle quali si desidera che il ruolo esegua le valutazioni.

Questa attività non consente al ruolo di correggere i criteri di SaltStack SecOps Vulnerability.

SaltStack SecOps Compliance è un componente aggiuntivo di SaltStack Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.

Nota:

È richiesta una licenza di SaltStack SecOps.

Vulnerabilità: correzione

Il ruolo può correggere le vulnerabilità rilevate in una valutazione di SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability è un componente aggiuntivo di SaltStack Config che gestisce le vulnerabilità in tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.

Nota:

È richiesta una licenza di SaltStack SecOps.

Accesso alle risorse

La scheda Accesso alle risorse consente di definire l'accesso alle risorse per destinazioni e processi. Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. I processi vengono utilizzati per eseguire le attività di esecuzione remote, applicare gli stati e avviare i runner Salt.

Nota: I tipi di risorse non definiti nella tabella non richiedono alcuna impostazione di accesso alle risorse specifica.
Tipo di risorsa Livelli di accesso
Destinazioni
  • Sola lettura: il ruolo può visualizzare la destinazione indicata e i relativi dettagli, ma non può modificarlo o eliminarlo.
  • Lettura/scrittura: il ruolo può visualizzare e modificare la destinazione indicata.
  • Lettura/scrittura/eliminazione: il ruolo può visualizzare, modificare ed eliminare la destinazione indicata.
Processi
  • Sola lettura: il ruolo può visualizzare il processo indicato e i relativi dettagli, ma non può modificarlo o eliminarlo oppure eseguirlo.
  • Lettura/esecuzione: il ruolo può visualizzare ed eseguire il processo indicato.
  • Lettura/esecuzione/scrittura: il ruolo può visualizzare e modificare il processo indicato ed eseguirlo.
  • Lettura/esecuzione/scrittura/eliminazione: il ruolo può visualizzare, modificare ed eliminare il processo indicato ed eseguirlo.

Per ulteriori informazioni, vedere Come creare processi.

Altri tipi di risorse: è necessario definire l'accesso ai seguenti tipi di risorse utilizzando l'API (RaaS)
  • File nel file server
  • Dati dei pillar
  • Configurazione dell'autenticazione
Definito nell'API (RaaS)

Prerequisiti

Per definire i ruoli utente, è necessario disporre dell'accesso come amministratore.

Procedura

  1. Nel menu laterale, fare clic su Amministrazione > Ruoli.
  2. Fare clic su Crea e immettere un nome per il ruolo.
  3. In Attività, selezionare le azioni consentite per concedere il ruolo.
  4. Fare clic su Salva.
  5. Per assegnare l'accesso a un processo oppure a una destinazione, selezionare il ruolo nell'area di lavoro Ruoli, individuare il processo o la destinazione necessari in Accesso alle risorse e selezionare il livello di accesso desiderato. Ad esempio, per consentire a un ruolo di eseguire processi, selezionare Lettura/Esecuzione e fare clic su Salva.
  6. (Facoltativo) Per includere gruppi, selezionare il ruolo nell'area di lavoro Ruoli, selezionare i gruppi da includere in Gruppi e quindi fare clic su Salva.
    Nota: Le autorizzazioni dei ruoli sono aggiuntive. Gli utenti nei gruppi assegnati a più ruoli ricevono l'accesso a una combinazione di tutti gli elementi concessi da ciascun ruolo. Ai gruppi selezionati, inclusi tutti gli utenti in tali gruppi, viene concesso l'accesso a tutte le attività e le risorse consentite definite nelle impostazioni del ruolo.
  7. (Facoltativo) Per clonare un ruolo, selezionare il ruolo nell'area di lavoro Ruoli, fare clic su Clona, immettere un nuovo nome per il ruolo e quindi fare clic su Salva.
    Nota: Per impostazione predefinita, i ruoli clonati ereditano le attività consentite dal ruolo originale. I ruoli clonati non ereditano l'accesso alle risorse che deve essere definito separatamente.
  8. (Facoltativo) In alcune situazioni potrebbe essere necessario configurare autorizzazioni più granulari. Per concedere le autorizzazioni avanzate, fare clic su Amministrazione > Ruoli > Avanzate, selezionare il ruolo e selezionare o deselezionare autorizzazioni aggiuntive. Fare clic su Salva. Per ulteriori informazioni sulle autorizzazioni avanzate e sui tipi di elementi, vedere Autorizzazioni avanzate e tipi di elementi.
    Nota: Le autorizzazioni minime consigliate per le operazioni utente tipiche sono evidenziate in blu.
    roles-advanced-blue-highlighting