状況によって、ロール エディタの [タスク] タブにあるオプションよりも細かいロール権限の構成が必要になることがあります。[詳細] タブでは、あるロールが実行できるタスクを細部まで制御できます。

次の手順は、インフラストラクチャ全体を理解している経験豊富な Salt 管理者が実行する必要があります。

詳細な権限の定義

  1. サイド メニューで [管理者] > [ロール] の順にクリックします。次に、[詳細] タブを選択します。
  2. [ロール] サイド パネルで、必要なロールが選択されていることを確認します。
  3. さまざまな機能領域について、必要に応じて読み取り、実行、書き込み、または削除を選択して権限を選択または選択解除します。

    使用可能なリソース タイプおよび機能領域の詳細については、アイテムを参照してください。

    次の図に、一般的なユーザー操作の場合に推奨される最小の権限を青色で強調表示しています。


    詳細なロールを青色で強調表示

    この図の左側は、推奨される最小限の 2 つのボックスで、1 つは選択され、もう 1 つは選択が解除されています。一方、右側の 2 つは通常のボックスです。

  4. [保存] をクリックします。

権限タイプ

権限

説明

読み取り

ロールによって、特定のタイプのリソースまたは機能領域を表示できます。たとえば、あるロールに ReadTargetGroups を割り当てると、指定したターゲットと各ターゲットの詳細を表示できるようになります。

実行

ロールによって、特定のタイプの操作を実行できます。許可される操作のタイプはさまざまです。たとえば、ミニオンに対して任意のコマンドを実行する権限を割り当てたり、Salt Controller に対してコマンドを実行する権限を割り当てたりできます。

書き込み

ロールによって、特定のタイプのリソースまたは機能領域を作成および編集できます。たとえば、詳細なユーザー ロールに WriteFileServer を割り当てると、ファイル サーバ内でファイルを作成または編集できます。書き込みアクセス権を持つユーザーは、特にリソース アクセス設定を行わなくても、自分の作成したリソースを編集できます。

削除

ロールによって、特定の機能領域に含まれる特定のタイプのリソースまたは他のアイテムを削除できます。たとえば、ロールに DeletePillar を割り当てると、使用されなくなったピラーを削除できるようになります。削除権限を持つユーザーは、特にリソース アクセス設定を行わなくても、自分の作成したリソースを削除できます。

アイテム

詳細エディタでロールの権限を設定するとき、上記のアクションを次のリソースまたは機能領域に適用できます。

リソース タイプ/機能領域

説明

関連項目

[すべてのミニオン] コマンド

[すべてのミニオン] ターゲットに対してコマンドを実行します。[すべてのミニオン] ターゲットは、ロールがアクセス権を持っているミニオンの組み合わせによって変わる可能性があります。

ミニオン

管理者

SaltStack Config ユーザー インターフェイスでのみ管理者権限を付与します。これには API (RaaS) への管理アクセスは含まれないことに注意してください。ベスト プラクティスとして、ロールにこのレベルのアクセス権を付与する場合は注意してください。

管理者権限の詳細については、組み込みのロールとデフォルト設定を参照してください。

監査ログ

監査ログは、SaltStack Config 内でのすべてのアクティビティの記録であり、各ユーザーのアクションの詳細が含まれます。

詳細については、rpc_audit を参照するか、管理者にお問い合わせください。

コマンド

コマンドは、ジョブの一部として実行される 1 つまたは複数のタスクです。各コマンドには、ターゲット情報、関数、およびオプションで引数が含まれます。

ジョブ

ファイル サーバ

ファイル サーバは、上位のファイルや状態ファイルなどの Salt 固有のファイルと、システム構成ファイルなどのミニオンに配布できるファイルの両方を格納するための場所です。

ファイル サーバ

グループ

グループは、共通の特性を持ち、同様のユーザー アクセス設定を必要とするユーザーのコレクションです。

ロールと権限

ジョブ

ジョブは、リモート実行タスクの実行、状態の適用、Salt ランナーの起動に使用されます。

ジョブ

ライセンス

ライセンスには、使用量のスナップショットに加え、Salt Controller の数、インストールでライセンスが与えられているミニオンの数、ライセンスの有効期限などの詳細が含まれます。

詳細については、rpc_license を参照するか、管理者に確認してください。

Salt Controller の構成

Salt Controller 構成ファイルには、Salt Controller ID、公開ポート、キャッシュ動作など、Salt Controller(以前の Salt マスター)に関する詳細が含まれています。

Salt マスター構成のリファレンス

Salt Controller リソース

Salt Controller は、ミニオンに対してコマンドを一元的に発行するために使用されるノードです。

Salt マスターのリファレンス

メタデータ認証

認証インターフェイスは、RPC API を介してユーザー、グループ、ロールを管理するために使用されます。

詳細については、rpc_auth を参照するか、管理者に確認してください。

ミニオン リソース

ミニオンは minion サービスが実行されるノードであり、Salt Controller からのコマンドをリッスンして、要求されたタスクを実行できます。

ミニオン

ピラー

ピラーは、Salt Controller で定義されるデータの構造であり、ターゲットを使用して 1 台以上のミニオンに渡されます。これにより、機密のターゲット データを関連するミニオンにのみ安全に送信できます。

ピラー

リターナ データ

リターナは、実行されたジョブからミニオンが返すデータを受け取ります。Salt コマンドの結果を、データベースやアーカイブ用のログ ファイルなどの特定のデータストアに送信できます。

リターナのリファレンス

ロール

ロールは、共通のニーズのセットを共有する複数のユーザーの権限を定義するために使用されます。

ロールと権限

Runner コマンド

コマンドは、ジョブの一部として実行される 1 つまたは複数のタスクです。各コマンドには、ターゲット情報、関数、およびオプションで引数が含まれます。Salt ランナーは、Salt Controller で便利な機能を実行するために使用されるモジュールです。

ジョブ

コンプライアンス評価

評価は、SaltStack SecOps Compliance ポリシーで指定されているとおりにノードのコレクションを特定のセキュリティ チェックのセットと照合してチェックすることを意味します。

SaltStack SecOps Compliance - [注:]SaltStack SecOps ライセンスが必要です。

準拠ポリシー

準拠ポリシーは、SaltStack SecOps Compliance におけるセキュリティ チェックと、各チェックが適用されるノードの仕様の集合です。

SaltStack SecOps Compliance - [注:]SaltStack SecOps ライセンスが必要です。

コンプライアンス修正

修正とは、SaltStack SecOps Compliance 内の非準拠ノードを適切な状態にすることです。

SaltStack SecOps Compliance - [注:]SaltStack SecOps ライセンスが必要です。

コンプライアンス コンテンツの取り込み - SaltStack

SaltStack SecOps Compliance コンテンツを取り込むには、SaltStack SecOps Compliance セキュリティ ライブラリをダウンロードまたは更新します。

SaltStack SecOps Compliance - [注:]SaltStack SecOps ライセンスが必要です。

コンプライアンス コンテンツの取り込み - カスタム

カスタム コンプライアンス コンテンツを使用すると、SaltStack SecOps Compliance に組み込まれているセキュリティ ベンチマークおよびセキュリティ チェックのライブラリを補完する独自のセキュリティ標準を定義できます。カスタム コンテンツを取り込むには、カスタムのチェックおよびベンチマークをアップロードします。

SaltStack SecOps Compliance - [注:]SaltStack SecOps ライセンスが必要です。

コンプライアンス カスタム コンテンツ

カスタム コンプライアンス コンテンツを使用すると、SaltStack SecOps Compliance に組み込まれているセキュリティ ベンチマークおよびセキュリティ チェックのライブラリを補完する独自のセキュリティ標準を定義できます。

SaltStack SecOps Compliance - [注:]SaltStack SecOps ライセンスが必要です。

スケジュール

スケジュールは、事前定義された時刻に、または特定の間隔でジョブを実行するために使用されます。

スケジュール

SSH コマンド

SSH (Secure Shell) コマンドは、ミニオン サービスがインストールされていないミニオンに対して実行されます。

Salt SSH のリファレンス

ターゲット グループ

ターゲットは 1 つ以上の Salt Controller 上に構成されるミニオンのグループで、これに対してジョブの Salt コマンドが適用されます。Salt Controller もミニオンのように管理でき、ミニオン サービスを実行している場合はターゲットにすることができます。

ミニオン

ユーザー

ユーザーは、組織内で SaltStack Config アカウントを持つ個人です。

ロールと権限

脆弱性評価

脆弱性評価は、脆弱性を見つけるために SaltStack SecOps Vulnerability ポリシーの一部として、ノードのコレクションをスキャンすることです。

SaltStack SecOps Vulnerability - [注:]SaltStack SecOps ライセンスが必要です。

脆弱性ポリシー

脆弱性ポリシーは、ターゲットと評価スケジュールで構成されます。ターゲットは評価に含めるミニオンを決定し、スケジュールは評価をいつ実行するかを決定します。また、セキュリティ ポリシーは、最新の評価の結果を SaltStack SecOps Vulnerability に保管します。

SaltStack SecOps Vulnerability - [注:]SaltStack SecOps ライセンスが必要です。

脆弱性の修正

修正とは、SaltStack SecOps Vulnerability 内の脆弱性にパッチを適用することです。

SaltStack SecOps Vulnerability - [注:]SaltStack SecOps ライセンスが必要です。

脆弱性コンテンツの取り込み

SaltStack SecOps Vulnerability コンテンツは、Common Vulnerabilities and Exposures (CVE) の最新のエントリに基づくアドバイザリのライブラリです。SaltStack SecOps Vulnerability のコンテンツを取り込むには、コンテンツ ライブラリの最新バージョンをダウンロードします。

SaltStack SecOps Vulnerability - [注:]SaltStack SecOps ライセンスが必要です。

脆弱性ベンダーのインポート

SaltStack SecOps Vulnerability では、さまざまなサードパーティ ベンダーによって生成されるセキュリティ スキャンのインポートがサポートされます。この権限を持つユーザーは、ファイルから、またはコネクタを介して脆弱性スキャンの結果をインポートできます。

デフォルトでは、すべての SaltStack Config ユーザーがコネクタ ワークスペースにアクセスできます。ただし、ユーザーがコネクタから脆弱性を正常にインポートするには、脆弱性ベンダーのインポートを実行するための権限と SaltStack SecOps Vulnerability ライセンスが必要です。

コネクタ、SaltStack SecOps Vulnerability - [注:]SaltStack SecOps ライセンスが必要です。

Wheel コマンド

Wheel コマンドは、Salt Controller の動作を制御し、キーの管理に使用されます。

Salt の Wheel のリファレンス

API でのリソース アクセス

次のリソース タイプへのアクセスは、API (RaaS) を使用して定義する必要があります。

  • ファイル サーバ内のファイル
  • ピラー データ
  • 認証構成

その他のすべてのリソース タイプ(ジョブ、ターゲット、および上に示したものを除く)には、特定のリソース アクセス設定は不要です。