Met het RBAC-systeem van SaltStack Config voor toegangscontrole op basis van rollen kunt u rechteninstellingen voor meerdere gebruikers tegelijk definiëren, omdat rechteninstellingen voor een rol van toepassing zijn op alle gebruikers die in de rol zijn opgenomen. U kunt deze instellingen definiëren in de werkplek Rollen in de gebruikersinterface.

SaltStack Config wordt geleverd met een aantal ingebouwde rollen die niet kunnen worden verwijderd.
  • Gebruiker - De standaardrol toegewezen aan alle nieuwe lokale gebruikers, SSO- en LDAP-gebruikers. De gebruikersrol heeft betrekking op basisrechten, zoals leestoegang, die nodig zijn voor het uitvoeren van vele basisfuncties. Gebruikers die deze rol krijgen, kunnen opdrachten bekijken en uitvoeren en ook opdrachtgeschiedenis, opdrachtretourneringen en rapporten voor bepaalde minions en opdrachttypen bekijken, beperkt tot de instellingen voor resourcetoegang van de rol.
  • Beheerder - Deze rol heeft toegang nodig tot meer geavanceerde tools dan de gebruikersrol en heeft zodoende toegang tot Systeembeheer. Beheerders kunnen gevoelige gegevens in de gebruikersinstellingen en pillar bekijken (en in sommige gevallen bewerken). De rol kan resources zoals bestanden, opdrachten en doelen maken, bijwerken en verwijderen. Beheerders kunnen indien nodig ook sleutels beheren bij het configureren van nieuwe knooppunten.
  • Supergebruiker - Supergebruikers kunnen elke bewerking in SaltStack Config uitvoeren, waaronder het krijgen van toegang tot Systeembeheer en het accepteren van mastersleutels. root is toegewezen aan de rol Supergebruiker (Superuser). De rol kan niet worden verwijderd of gekloond. U kunt elke groep of gebruiker aan de rol toevoegen, maar u kunt de andere instellingen van de rol niet wijzigen. Alleen geavanceerde gebruikers mogen worden toegevoegd aan de rol Supergebruiker (Superuser), omdat de beperkingen voor rechten effectief worden omzeild.

Daarnaast kunt u speciaal gedefinieerde rollen maken voor de unieke behoeften van uw organisatie.

Als u een rolrecht wilt geven om een taak te voltooien, moet u zowel de toegestane taak definiëren als toegang tot een resource of functioneel gebied toewijzen. Een recht is een ruime categorie van toegestane acties, terwijl toegang tot resources u in staat stelt om een specifieke resource (bijvoorbeeld een opdracht of doel) te definiëren waarvoor de actie kan worden voltooid.

Resourcetoegang voor bepaalde resourcetypen en functionele gebieden moet worden gedefinieerd in de API (RaaS) en niet in de editor Rollen (Roles).

Nadat u een rol heeft gemaakt, kunt u ervoor kiezen om deze te klonen, toegestane taken in te stellen en toegang tot een opdracht of doel toe te wijzen.

Als u een rol wilt definiëren voor toegangscontrole op basis van rollen (RBAC) in SaltStack Config, moet u zowel de toegestane taak definiëren als resourcetoegang toewijzen. Een taak is een specifieke bewerking die in de gebruikersinterface kan worden uitgevoerd, zoals het maken, bewerken of uitvoeren van een opdracht. Een resource is een onderdeel van uw omgeving, zoals specifieke masters, minions, doelen, bestandsgegevens, enz.

Een toegestane taak is een brede categorie van toegestane acties, terwijl de resourcetoegang gedetailleerder is, zodat u een bepaalde resource (zoals een opdracht of doel) kunt opgeven, waarvoor de actie kan worden uitgevoerd.


concept-rechten-resources

In dit voorbeeld kan een rol test.ping uitvoeren in de Linux-doelgroep met deze rechteninstellingen:

  • Leestoegang tot het Linux-doel
  • Lees-/uitvoeringstoegang tot een opdracht die het commando test.ping bevat

voorbeeld-rechten-resources

Taken

Het tabblad Taken (Tasks) bevat de volgende opties.

Taak

Beschrijving

Nieuwe doelen maken en verwijderen (Create and delete new targets)

Rol kan nieuwe doelen maken. Gebruikers die aan deze rol zijn toegewezen, kunnen doelen die ze hebben gemaakt, of andere doelen die zijn gedefinieerd onder Resourcetoegang (Resource Access), bewerken en verwijderen.

Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert. Zie Hoe maak ik doelen?.

Pillargegevens wijzigen (Modify pillar data)

Rol kan gevoelige informatie die is opgeslagen in pillars, weergeven, bewerken en verwijderen. Gebruikers die deel uitmaken van de rol kunnen pillars die zij hebben gemaakt, bewerken of verwijderen. Zij kunnen ook andere pillars bewerken of verwijderen indien ze resourcetoegang hebben (alleen beschikbaar via de API (RaaS)).

Pillars zijn structuren van gegevens die in de Salt-master zijn gedefinieerd en worden doorgegeven aan een of meer minions, met behulp van doelen. Ze staan toe dat vertrouwelijke, getargete gegevens alleen veilig naar de betreffende minion worden verzonden. Zie Hoe maak ik statusbestanden en pillargegevens.

Bestandsserver wijzigen (Modify file server)

Rol kan de bestandsserver weergeven en kan bestanden maken, bewerken of verwijderen. Gebruikers die deel uitmaken van de rol, kunnen bestanden die zij hebben gemaakt, bewerken of verwijderen. Zij kunnen ook andere bestanden bewerken of verwijderen indien zij resourcetoegang hebben (alleen beschikbaar via de API (RaaS)).

De bestandsserver is een locatie voor het opslaan van zowel Salt-specifieke bestanden, zoals top-bestanden of statusbestanden, als bestanden die naar minions kunnen worden gedistribueerd, zoals systeemconfiguratiebestanden. Zie Hoe maak ik statusbestanden en pillargegevens.

Willekeurige commando's op minions uitvoeren (Run arbitrary commands on minions)

Rol kan commando's activeren buiten een opdracht die door de Salt-master kan worden opgehaald. Rol is niet beperkt tot het uitvoeren van alleen commando's die in de definitie van een bepaalde opdracht zijn opgenomen.

Minions zijn knooppunten die gebruikmaken van de minionservice, waarmee wordt geluisterd naar commando's van een Salt-master en de gevraagde taken worden uitgevoerd.

Minionsleutels accepteren, verwijderen en weigeren

Rol kan minionsleutels accepteren, verwijderen en weigeren zoals nodig is voor de eerste configuratie.

Een minionsleutel maakt versleutelde communicatie mogelijk tussen een Salt-master en een Salt-minion.

De rol Supergebruiker is vereist voor het accepteren van minionsleutels.

Gebruikers, rollen en rechten lezen en wijzigen (Read and modify users, roles, permissions)

Rol kan gebruikers en bijbehorende gegevens weergeven, evenals instellingen voor rollen en rechten bewerken.

Opmerking: deze taak is alleen van toepassing op de ingebouwde rollen Beheerder (Administrator) en Supergebruiker (Superuser).

Rollen worden gebruikt om rechten te definiëren voor meerdere gebruikers die een gemeenschappelijke reeks behoeften delen.

Opdrachten uitvoeren op Salt-masters (Run commands on Salt masters)

Rol kan commando's op Salt-masters uitvoeren, bijvoorbeeld voor het uitvoeren van orkestratie.

Commando's die worden uitgevoerd voor de Salt-master worden ook Salt-runners genoemd. Salt-runners zijn modules die worden gebruikt om gemaksfuncties uit te voeren op de Salt-master. Zie Hoe maak ik opdrachten. Als u dit recht toevoegt, kan de rol de optie salt-run gebruiken vanuit de functie Commando uitvoeren op het tabblad Minions in de werkplek Doelen.

Conformiteit - maken, bewerken, verwijderen en beoordelen (Compliance - create, edit, delete, and assess)

Rol kan SaltStack SecOps Compliance-beleidsregels maken, bewerken, verwijderen en beoordelen. U moet niet alleen rechten voor deze taak verlenen, maar ook resourcetoegang definiëren voor doelen waarvoor de rol acties moet kunnen uitvoeren. Als u bijvoorbeeld wilt dat de rol OracleLinuxAdmin beleidsregels voor een OracleLinux-doel definieert, wijst u de rol zowel rechten toe om deze taak te voltooien, als leestoegang tot het OracleLinux-doel.

Deze taak staat niet toe dat de rol SaltStack SecOps Compliance-beleidsregels corrigeert.

SaltStack SecOps Compliance is een add-on voor SaltStack Config die de naleving van beveiligingsbeleid voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren voor meer informatie.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Conformiteit - corrigeren (Compliance - remediate)

Rol kan niet-conforme minions corrigeren die in een beoordeling van SaltStack SecOps Compliance worden gedetecteerd.

SaltStack SecOps Compliance is een add-on voor SaltStack Config die de naleving van beveiligingsbeleid voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren voor meer informatie.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Conformiteit - SaltStack-inhoud bijwerken (Compliance - update SaltStack content)

Rol kan updates naar de SaltStack SecOps Compliance-beveiligingsbibliotheek downloaden.

Kwetsbaarheid - maken, bewerken, verwijderen en beoordelen (Vulnerability - create, edit, delete, and assess)

Rol kan SaltStack SecOps Vulnerability-beleidsregels maken, bewerken, verwijderen en beoordelen. U moet niet alleen rechten voor deze taak verlenen, maar ook resourcetoegang definiëren voor doelen waarvoor de rol beoordelingen moet kunnen uitvoeren.

Deze taak staat niet toe dat de rol SaltStack SecOps Vulnerability-beleidsregels corrigeert.

SaltStack SecOps Compliance is een add-on voor SaltStack Config die de naleving van beveiligingsbeleid voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren voor meer informatie.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Kwetsbaarheid - corrigeren (Vulnerability - remediate)

Rol kan kwetsbaarheden corrigeren die in een SaltStack SecOps Vulnerability-beoordeling zijn gedetecteerd.

SaltStack SecOps Vulnerability is een add-on voor SaltStack Config die de kwetsbaarheden voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren voor meer informatie.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Resourcetoegang

Via het tabblad Resourcetoegang (Resource Access) kunt u resourcetoegang voor doelen en opdrachten definiëren. Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert. Opdrachten worden gebruikt om externe uitvoeringstaken uit te voeren, om staten toe te passen en om Salt-runners te starten.

Opmerking: Resourcetypen die niet in de tabel zijn gedefinieerd, vereisen geen specifieke toegangsinstellingen voor resources.
Resourcetype Toegangsniveaus
Doelen
  • Alleen-lezen (Read Only) - Rol kan het aangegeven doel en de details ervan weergeven, maar niet bewerken of verwijderen.
  • Lezen/Schrijven (Read/Write) - Rol kan het aangegeven doel weergeven en bewerken.
  • Lezen/Schrijven/Verwijderen (Read/Write/Delete) - Rol kan het aangegeven doel weergeven, bewerken en verwijderen.
Opdrachten (Jobs)
  • Alleen-lezen (Read Only) - Rol kan de aangegeven opdracht en de details ervan weergeven, maar niet bewerken of verwijderen.
  • Lezen/Uitvoeren (Read/Run) - Rol kan de aangegeven opdracht weergeven en uitvoeren.
  • Lezen/Uitvoeren/Schrijven (Read/Run/Write) - Rol kan de aangegeven opdracht weergeven, bewerken en uitvoeren.
  • Lezen/Uitvoeren/Schrijven/Verwijderen (Read/Run/Write/Delete) - Rol kan de aangegeven opdracht weergeven, bewerken, verwijderen en uitvoeren.

Zie Hoe maak ik opdrachten voor meer informatie.

Andere resourcetypen - Toegang tot deze resourcetypen moet worden gedefinieerd met de API (RaaS)
  • Bestanden op de bestandsserver
  • Pillargegevens
  • Verificatieconfiguratie
Gedefinieerd in de API (RaaS)

Voorwaarden

U moet beheerderstoegang hebben om gebruikersrollen te definiëren.

Procedure

  1. Klik in het zijmenu op Beheer > Rollen.
  2. Klik op Maken en voer een naam voor uw rol in.
  3. Selecteer onder Taken toegestane acties om de rol toe te wijzen.
  4. Klik op Opslaan.
  5. Om toegang tot een opdracht of doel toe te wijzen, selecteert u de rol in de werkplek Rollen, zoekt u de vereiste opdracht of het vereiste doel onder Resourcetoegang en selecteert u het gewenste toegangsniveau. Als u bijvoorbeeld wilt toestaan dat een rol opdrachten kan uitvoeren, selecteert u Lezen/Uitvoeren en klikt u op Opslaan.
  6. (Optioneel) Om groepen op te nemen, selecteert u de rol in de werkplek Rollen, selecteert u de groepen die u wilt opnemen in Groepen en klikt u op Opslaan.
    Opmerking: Rolrechten zijn aanvullend. Gebruikers in groepen die aan meerdere rollen zijn toegewezen, ontvangen toegang tot een combinatie van alle items die zijn toegewezen vanuit elke rol. Aan de geselecteerde groepen, waaronder alle gebruikers in die groepen, worden alle toegestane taken en resourcetoegang verleend, zoals gedefinieerd in de rolinstellingen.
  7. (Optioneel) Om een rol te klonen, selecteert u de rol in de werkplek Rollen, klikt u op Klonen, voert u een nieuwe naam voor de rol in en klikt u op Opslaan.
    Opmerking: Standaard nemen gekloonde rollen toegestane taken over van de oorspronkelijke rol. Gekloonde rollen nemen geen resourcetoegang over, die afzonderlijk moet worden gedefinieerd.
  8. (Optioneel) In sommige situaties moet u mogelijk meer gedetailleerde rechten configureren. Als u geavanceerde rechten wilt verlenen, klikt u op Beheer > Rollen > Geavanceerd, selecteert u de rol en selecteert u aanvullende rechten of heft u de selectie ervan op. Klik op Opslaan. Zie Geavanceerde rechten en itemtypen voor meer informatie over geavanceerde rechten en itemtypen.
    Opmerking: De minimale aanbevolen rechten voor typische gebruikersbewerkingen zijn blauw gemarkeerd.
    rollen-geavanceerde-blauwe-markering