Con il sistema di controllo degli accessi basato sui ruoli (RBAC) di SaltStack Config, è possibile definire le impostazioni delle autorizzazioni per più utenti contemporaneamente, perché le impostazioni delle autorizzazioni per un ruolo vengono applicate a tutti gli utenti inclusi nel ruolo. È possibile definire queste impostazioni nell'area di lavoro Ruoli nell'interfaccia utente.
- Utente: il ruolo predefinito assegnato a tutti i nuovi utenti locali, SSO e LDAP. Il ruolo Utente include le autorizzazioni fondamentali, ad esempio l'accesso in lettura, necessarie per eseguire molte funzioni di base. Gli utenti assegnati a questo ruolo possono visualizzare ed eseguire processi, nonché visualizzare la cronologia dei processi, i risultati dei processi e i report di alcuni minion e tipi di processi, limitati alle impostazioni di accesso alle risorse del ruolo.
- Amministratore: questo ruolo richiede l'accesso a strumenti più avanzati rispetto al ruolo Utente e quindi può accedere all'amministrazione del sistema. Gli amministratori possono visualizzare (e in alcuni casi, modificare) i dati sensibili che si trovano nei pillar e nelle impostazioni dell'utente. Il ruolo può creare, aggiornare ed eliminare risorse come file, processi e destinazioni. Gli amministratori possono inoltre gestire le chiavi in base alle necessità durante la configurazione di nuovi nodi.
- Utente con privilegi avanzati: gli utenti con privilegi avanzati possono eseguire qualsiasi operazione in SaltStack Config, incluso l'accesso all'amministrazione del sistema.
root
è assegnato al ruolo Utente con privilegi avanzati. Non è possibile eliminare o clonare il ruolo. È possibile aggiungere qualsiasi gruppo o utente al ruolo, ma non è possibile modificare le altre impostazioni del ruolo. È consigliabile aggiungere solo utenti avanzati al ruolo Utente con privilegi avanzati, perché di fatto concede tutte le autorizzazioni senza alcuna limitazione.
Inoltre, è possibile creare ruoli personalizzati per le esigenze univoche della propria organizzazione.
Per assegnare a un ruolo l'autorizzazione a completare un'attività, è necessario definire sia l'attività consentita sia assegnare l'accesso a una risorsa o a un'area funzionale. Un'autorizzazione è una vasta categoria di azioni consentite, mentre l'accesso alle risorse consente di definire una risorsa specifica (ad esempio un processo o una destinazione) in cui è possibile eseguire l'azione.
L'accesso alle risorse per determinati tipi di risorse e aree funzionali deve essere definito nell'API (RaaS) anziché nell'editor Ruoli.
Dopo aver creato un ruolo, è possibile scegliere di clonarlo, impostare attività consentite e assegnare l'accesso a un processo o a una destinazione.
Per definire un ruolo per il controllo degli accessi basato sui ruoli (RBAC) in SaltStack Config, è necessario definire l'attività consentita e assegnare l'accesso alle risorse. Un'attività è un'operazione specifica che può essere eseguita nell'interfaccia utente, ad esempio la creazione, la modifica o l'esecuzione di un processo. Una risorsa è un elemento dell'ambiente, ad esempio master, minion, destinazioni, dati di file specifici.
Un'attività consentita è un'ampia categoria di azioni consentite, mentre l'accesso alle risorse è più granulare e consente di specificare una determinata risorsa (come un processo o una destinazione) su cui è possibile eseguire l'azione.
In questo esempio, un ruolo può eseguire test.ping
nel gruppo di destinazione Linux con le seguenti impostazioni delle autorizzazioni:
- Accesso in lettura alla destinazione Linux
- Accesso in lettura/esecuzione a un processo che include il comando
test.ping
Attività
La scheda Attività include le opzioni seguenti.
Attività |
Descrizione |
---|---|
Creazione ed eliminazione di nuove destinazioni |
Il ruolo può creare nuove destinazioni. Gli utenti assegnati a questo ruolo possono modificare ed eliminare le destinazioni create da loro o altre destinazioni definite in Accesso alle risorse. Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. Vedere Come creare le destinazioni . |
Modifica dei dati dei pillar |
Il ruolo può visualizzare, modificare ed eliminare le informazioni riservate archiviate nei pillar. Gli utenti appartenenti al ruolo possono modificare o eliminare i pillar creati da essi. Possono anche modificare o eliminare altri pillar se è stato concesso loro l'accesso alle risorse (disponibile solo tramite l'API (RaaS)). I pillar sono strutture di dati definiti nel Salt Master e passati a uno o più minion tramite le destinazioni. Consentono l'invio sicuro di dati riservati solo al minion pertinente. Vedere Come creare file di stato e dati dei pillar. |
Modifica del file server |
Il ruolo può visualizzare il file server e può creare, modificare o eliminare file. Gli utenti appartenenti al ruolo possono modificare o eliminare i file che hanno creato. Possono anche modificare o eliminare altri file se è stato concesso loro l'accesso alle risorse (disponibile solo tramite l'API (RaaS)). Il file server è una posizione per l'archiviazione sia dei file specifici di Salt, come i file top o di stato, sia dei file che possono essere distribuiti ai minion, ad esempio i file di configurazione del sistema. Vedere Come creare file di stato e dati dei pillar. |
Esecuzione di comandi arbitrari nei minion |
Il ruolo può attivare comandi al di fuori di un processo affinché il Salt Master li possa selezionare. Il ruolo non si limita all'esecuzione dei soli comandi inclusi nella definizione di un determinato processo. I minion sono nodi che eseguono il servizio minion, che può ascoltare i comandi di un Salt Master ed eseguire le attività richieste. |
Accettazione, eliminazione e rifiuto delle chiavi |
Il ruolo può accettare, eliminare e rifiutare le chiavi dei minion in base alla configurazione iniziale. Le chiavi dei minion consentono la comunicazione crittografata tra un Salt Master e un minion di Salt. |
Lettura e modifica di utenti, ruoli e autorizzazioni |
Il ruolo può visualizzare gli utenti e i dati associati, nonché modificare le impostazioni dei ruoli e delle autorizzazioni. Nota: questa attività si applica solo ai ruoli amministratore e utente con privilegi avanzati integrati. I ruoli vengono utilizzati per definire le autorizzazioni per più utenti che condividono esigenze comuni. |
Esecuzione dei comandi sui Salt Master |
Il ruolo può eseguire comandi sui Salt Master, ad esempio per eseguire l'orchestrazione. I comandi eseguiti rispetto al Salt Master sono denominati anche runner Salt. I runner Salt sono moduli utilizzati per semplificare l'esecuzione di funzioni nel Salt Master. Vedere Come creare processi. L'aggiunta di questa autorizzazione consente al ruolo di utilizzare l'opzione salt-run nella funzionalità Esegui comando sotto la scheda Minion. |
Conformità: creazione, modifica, eliminazione e valutazione |
Il ruolo può creare, modificare, eliminare e valutare i criteri di SaltStack SecOps Compliance. Oltre a concedere l'autorizzazione per questa attività, è inoltre necessario definire l'accesso alle risorse per tutte le destinazioni in cui si desidera che il ruolo esegua azioni. Ad esempio, se si desidera che il ruolo Questa attività non consente al ruolo di correggere i criteri di SaltStack SecOps Compliance. SaltStack SecOps Compliance è un componente aggiuntivo di SaltStack Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.
Nota:
È richiesta una licenza di SaltStack SecOps. |
Conformità: correzione |
Il ruolo può correggere qualsiasi minion non conforme rilevato in una valutazione di SaltStack SecOps Compliance. SaltStack SecOps Compliance è un componente aggiuntivo di SaltStack Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.
Nota:
È richiesta una licenza di SaltStack SecOps. |
Conformità: aggiornamento dei contenuti di SaltStack |
Il ruolo può scaricare gli aggiornamenti della libreria di sicurezza di SaltStack SecOps Compliance. |
Vulnerabilità: creazione, modifica, eliminazione e valutazione |
Il ruolo può creare, modificare, eliminare e valutare i criteri di SaltStack SecOps Vulnerability. Oltre a concedere l'autorizzazione per questa attività, è inoltre necessario definire l'accesso alle risorse per tutte le destinazioni rispetto alle quali si desidera che il ruolo esegua le valutazioni. Questa attività non consente al ruolo di correggere i criteri di SaltStack SecOps Vulnerability. SaltStack SecOps Compliance è un componente aggiuntivo di SaltStack Config che gestisce l'approccio di conformità della sicurezza per tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.
Nota:
È richiesta una licenza di SaltStack SecOps. |
Vulnerabilità: correzione |
Il ruolo può correggere le vulnerabilità rilevate in una valutazione di SaltStack SecOps Vulnerability. SaltStack SecOps Vulnerability è un componente aggiuntivo di SaltStack Config che gestisce le vulnerabilità in tutti i sistemi nell'ambiente. Per ulteriori informazioni, vedere Utilizzo e gestione di SaltStack SecOps.
Nota:
È richiesta una licenza di SaltStack SecOps. |
Accesso alle risorse
La scheda Accesso alle risorse consente di definire l'accesso alle risorse per destinazioni e processi. Una destinazione è il gruppo di minion, appartenenti a uno o più Salt Master, a cui si applica il comando Salt di un processo. Un Salt Master può anche essere gestito come un minion e può essere una destinazione se esegue il servizio dei minion. I processi vengono utilizzati per eseguire le attività di esecuzione remote, applicare gli stati e avviare i runner Salt.
Tipo di risorsa | Livelli di accesso |
---|---|
Destinazioni |
|
Processi |
|
Altri tipi di risorse: è necessario definire l'accesso ai seguenti tipi di risorse utilizzando l'API (RaaS)
|
Definito nell'API (RaaS) |
Per creare e definire un ruolo:
Prerequisiti
Per definire i ruoli utente, è necessario disporre dell'accesso come amministratore.