In alcuni casi, potrebbe essere necessario configurare autorizzazioni di ruolo più granulari, oltre alle opzioni disponibili tramite la scheda Attività nell'editor Ruoli. La scheda Avanzate consente di controllare in modo più dettagliato le attività che un ruolo può completare.

Tipi di autorizzazione

Autorizzazione

Descrizione

Lettura

Il ruolo può visualizzare un determinato tipo di risorsa o area funzionale. Ad esempio, se si assegna il ruolo ReadTargetGroups, il ruolo può visualizzare le destinazioni specificate, nonché dettagli relativi a ogni destinazione.

Esecuzione

Il ruolo può eseguire un determinato tipo di operazione. Il tipo di operazione consentita può variare. Ad esempio è possibile assegnare autorizzazioni per eseguire comandi arbitrari sui minion o comandi nei controller Salt.

Scrittura

Il ruolo può creare e modificare un determinato tipo di risorsa o area funzionale. Ad esempio, è possibile assegnare WriteFileServer a un ruolo utente avanzato, in modo da poter creare o modificare file nel file server. Gli utenti con accesso in scrittura possono modificare le risorse create da loro, senza che siano necessarie impostazioni di accesso specifiche.

Elimina

Il ruolo può eliminare un determinato tipo di risorsa o un altro elemento in un'area funzionale specifica. Ad esempio, è possibile assegnare DeletePillar a un ruolo, in modo che possa eliminare un pillar che non è più in uso. Gli utenti che dispongono dell'autorizzazione Eliminazione possono eliminare le risorse create da loro, senza che siano necessarie impostazioni di accesso specifiche.

Elementi

Quando si impostano le autorizzazioni per un ruolo nell'editor avanzato, le azioni indicate in precedenza possono essere applicate alle seguenti risorse o aree funzionali.

Tipo di risorsa/Area funzionale

Descrizione

Vedere anche

Comandi Tutti i minions

Consente di eseguire comandi nella destinazione Tutti i minion. La destinazione Tutti i minion può variare in base alla combinazione di minion a cui il ruolo è autorizzato ad accedere.

Ammin

Concede privilegi amministrativi solo nell'interfaccia utente di SaltStack Config. Tenere presente che questo non include l'accesso amministrativo all'API (RaaS). È consigliabile prestare attenzione quando si concede questo livello di accesso a un ruolo.

Come definire i ruoli utente

Registro di controllo

Il registro di controllo è un record di tutte le attività in SaltStack Config che include dettagli sulle azioni di ciascun utente.

Vedere rpc_audit o contattare un amministratore per ricevere assistenza.

Comandi

Un comando è un'attività (o più attività) che viene eseguita come parte di un processo. Ogni comando include informazioni di destinazione, una funzione e argomenti facoltativi.

Processi

File server

Il file server è una posizione per l'archiviazione sia dei file specifici di Salt, come i file top o di stato, sia dei file che possono essere distribuiti ai minion, ad esempio i file di configurazione del sistema.

File server

Gruppi

I gruppi sono raccolte di utenti che condividono caratteristiche comuni e richiedono impostazioni di accesso utente simili.

Come definire i ruoli utente

Processi

I processi vengono utilizzati per eseguire le attività di esecuzione remote, applicare gli stati e avviare i runner Salt.

Processi

Licenza

La licenza include snapshot sull'utilizzo, nonché dettagli come il numero di controller e minion Salt concessi in licenza per l'installazione e la data di scadenza della licenza.

Vedere rpc_license o contattare un amministratore per ricevere assistenza.

Configurazione del controller Salt

Il file di configurazione del controller Salt contiene dettagli sul controller Salt (in precedenza denominato Salt Master), come l'ID del controller Salt, la porta di pubblicazione, il comportamento della cache e molto altro.

Riferimenti della configurazione di Salt Master

Risorse del controller Salt

Il controller Salt è un nodo centrale utilizzato per emettere comandi per i minion.

Riferimenti di Salt Master

Autenticazione metadati

L'interfaccia di autenticazione viene utilizzata per la gestione di utenti, gruppi e ruoli tramite l'API RPC.

Vedere rpc_auth o contattare un amministratore per ricevere assistenza.

Risorse minion

I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un controller Salt ed eseguire le attività richieste.

Pillar

I pillar sono strutture di dati definite nel controller Salt e passati a uno o più minion tramite le destinazioni. Consentono l'invio sicuro di dati riservati solo al minion pertinente.

Come creare file di stato e dati dei pillar

Dati returner

I returner ricevono i minion di dati dai processi eseguiti. Consentono l'invio dei risultati di un comando di Salt a un determinato datastore, ad esempio un database o un file di registro per l'archiviazione.

Riferimento returner

Ruoli

I ruoli vengono utilizzati per definire le autorizzazioni per più utenti che condividono esigenze comuni.

Come definire i ruoli utente

Comandi runner

Un comando è un'attività (o più attività) che viene eseguita come parte di un processo. Ogni comando include informazioni di destinazione, una funzione e argomenti facoltativi. I runner Salt sono moduli utilizzati per semplificare l'esecuzione di funzioni nel controller Salt.

Processi

Valutazione della conformità

Una valutazione è un'istanza di controllo di una raccolta di nodi per un determinato set di controlli di sicurezza, come specificato in un criterio di SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Nota: è necessaria una licenza di SaltStack SecOps.

Criterio di conformità

I criteri di conformità sono raccolte di controlli di sicurezza e specifiche per i nodi a cui viene applicato ciascun controllo, in SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Nota: è necessaria una licenza di SaltStack SecOps.

Correzione conformità

La correzione consiste nel correggere i nodi non conformi in SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Nota: è necessaria una licenza di SaltStack SecOps.

Inserimento contenuti conformità - SaltStack

L'inserimento dei contenuti di SaltStack SecOps Compliance prevede il download o l'aggiornamento della libreria di sicurezza di SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Nota: è necessaria una licenza di SaltStack SecOps.

Inserimento contenuti conformità - Personalizzati

I contenuti di conformità personalizzati consentono di definire i propri standard di sicurezza, per completare la libreria dei benchmark di sicurezza e i controlli integrati in SaltStack SecOps Compliance. L'inserimento di contenuti personalizzati prevede il caricamento di controlli e benchmark personalizzati.

SaltStack SecOps Compliance - Nota: è necessaria una licenza di SaltStack SecOps.

Contenuti personalizzati conformità

I contenuti di conformità personalizzati consentono di definire i propri standard di sicurezza, per completare la libreria dei benchmark di sicurezza e i controlli integrati in SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Nota: è necessaria una licenza di SaltStack SecOps.

Pianificazioni

Le pianificazioni vengono utilizzate per eseguire i processi a un orario predefinito oppure in un intervallo specifico.

Processi

Comandi SSH

I comandi Secure Shell (SSH) vengono eseguiti nei minion in cui non è installato il servizio minion.

Riferimenti dei comandi SSH di Salt

Gruppi di destinazione

Una destinazione è un gruppo di minion, appartenenti a uno o più controller Salt, a cui viene applicato il comando Salt di un processo. Un controller Salt può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion.

Destinazioni

Utenti

Gli utenti sono individui che dispongono di un account SaltStack Config presso l'azienda.

Come definire i ruoli utente

Valutazione delle vulnerabilità

Una valutazione delle vulnerabilità è un'istanza della scansione di un insieme di nodi per cercare le vulnerabilità come parte di un criterio di SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Nota: è necessaria una licenza di SaltStack SecOps.

Criterio di vulnerabilità

Un criterio di vulnerabilità è costituito da una destinazione e da una pianificazione della valutazione. La destinazione determina quali minion includere in una valutazione e la pianificazione determina quando verranno eseguite le valutazioni. Un criterio di sicurezza archivia anche i risultati della valutazione più recente in SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Nota: è necessaria una licenza di SaltStack SecOps.

Correzione vulnerabilità

La correzione comporta l'applicazione di patch alle vulnerabilità in SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Nota: è necessaria una licenza di SaltStack SecOps.

Inserimento contenuti vulnerabilità

I contenuti di SaltStack SecOps Vulnerability sono una libreria di avvisi basati sulle voci CVE (Common Vulnerabilities and Exposures) più recenti. L'inserimento dei contenuti di SaltStack SecOps Vulnerability prevede il download della versione più recente dalla libreria dei contenuti.

SaltStack SecOps Vulnerability - Nota: è necessaria una licenza di SaltStack SecOps.

Importazione fornitore vulnerabilità

SaltStack SecOps Vulnerability supporta l'importazione di scansioni di sicurezza generate da diversi fornitori di terze parti. Questa autorizzazione consente a un utente di importare i risultati della scansione delle vulnerabilità da un file o tramite un connettore.

Per impostazione predefinita, tutti gli utenti di SaltStack Config possono accedere all'area di lavoro Connettori. Tuttavia, è necessaria l'autorizzazione per eseguire l'importazione del fornitore di vulnerabilità, oltre a una licenza di SaltStack SecOps Vulnerability affinché un utente possa importare correttamente le vulnerabilità da un connettore.

Connettori, SaltStack SecOps Vulnerability - Nota: è necessaria una licenza di SaltStack SecOps.

Comandi wheel

I comandi wheel controllano il funzionamento del controller Salt e vengono utilizzati per gestire le chiavi.

Riferimenti dei comandi wheel di Salt

Accesso alle risorse nell'API

È necessario definire l'accesso ai seguenti tipi di risorse utilizzando l'API (RaaS):

  • File nel file server
  • Dati dei pillar
  • Configurazione dell'autenticazione

Tutti gli altri tipi di risorse, ad esclusione dei processi, delle destinazioni e di quelli elencati sopra, non richiedono alcuna impostazione di accesso specifica.