Als u een rol wilt definiëren voor op rollen gebaseerde toegangscontrole (RBAC) in SaltStack Config, moet u zowel de toegestane taak definiëren als resourcetoegang toewijzen. Een taak is een specifieke bewerking die in de gebruikersinterface kan worden uitgevoerd, zoals het maken, bewerken of uitvoeren van een opdracht. Een resource is een onderdeel van uw omgeving, zoals specifieke masters, minions, doelen, bestandsgegevens, enz.

Taken

Taken zijn veelvoorkomende gebruiksscenario's in SaltStack Config. Het inschakelen van een taak geeft de rol alle rechten die nodig zijn om de taak te voltooien.

Het tabblad Taken (Tasks) bevat de volgende opties.

Taak

Beschrijving

Nieuwe doelen maken en verwijderen (Create and delete new targets)

Rol kan nieuwe doelen maken. Gebruikers die aan deze rol zijn toegewezen, kunnen doelen die ze hebben gemaakt, of andere doelen die zijn gedefinieerd onder Resourcetoegang (Resource Access), bewerken en verwijderen.

Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert. Zie Minions.

Pillargegevens wijzigen (Modify pillar data)

Rol kan gevoelige informatie die is opgeslagen in pillars, weergeven, bewerken en verwijderen. Gebruikers die deel uitmaken van de rol kunnen pillars die zij hebben gemaakt, bewerken of verwijderen. Zij kunnen ook andere pillars bewerken of verwijderen indien ze resourcetoegang hebben (alleen beschikbaar via de API (RaaS)).

Pillars zijn structuren van gegevens die in de Salt-master zijn gedefinieerd en worden doorgegeven aan een of meer minions, met behulp van doelen. Ze staan toe dat vertrouwelijke, getargete gegevens alleen veilig naar de betreffende minion worden verzonden. Zie Pillars.

Bestandsserver wijzigen (Modify file server)

Rol kan de bestandsserver weergeven en kan bestanden maken, bewerken of verwijderen. Gebruikers die deel uitmaken van de rol, kunnen bestanden die zij hebben gemaakt, bewerken of verwijderen. Zij kunnen ook andere bestanden bewerken of verwijderen indien zij resourcetoegang hebben (alleen beschikbaar via de API (RaaS)).

De bestandsserver is een locatie voor het opslaan van zowel Salt-specifieke bestanden, zoals top-bestanden of statusbestanden, als bestanden die naar minions kunnen worden gedistribueerd, zoals systeemconfiguratiebestanden. Zie Bestandsserver.

Willekeurige commando's op minions uitvoeren (Run arbitrary commands on minions)

Rol kan commando's activeren buiten een opdracht die door de Salt-master kan worden opgehaald. Rol is niet beperkt tot het uitvoeren van alleen commando's die in de definitie van een bepaalde opdracht zijn opgenomen.

Minions zijn knooppunten die gebruikmaken van de minionservice, waarmee wordt geluisterd naar commando's van een Salt-master en de gevraagde taken worden uitgevoerd. Zie Minions.

Sleutels accepteren, verwijderen en weigeren (Accept, delete, and reject keys)

Rol kan minionsleutels accepteren, verwijderen en weigeren zoals nodig is voor de eerste configuratie.

Een minionsleutel maakt versleutelde communicatie mogelijk tussen een Salt-master en een Salt-minion. Zie Minionsleutels.

Gebruikers, rollen en rechten lezen en wijzigen (Read and modify users, roles, permissions)

Rol kan gebruikers en bijbehorende gegevens weergeven, evenals instellingen voor rollen en rechten bewerken.

Opmerking: deze taak is alleen van toepassing op de ingebouwde rollen Beheerder (Administrator) en Supergebruiker (Superuser).

Rollen worden gebruikt om rechten te definiëren voor meerdere gebruikers die een gemeenschappelijke reeks behoeften delen.

Opdrachten uitvoeren op Salt-masters (Run commands on Salt masters)

Rol kan commando's op Salt-masters uitvoeren, bijvoorbeeld voor het uitvoeren van orkestratie.

Commando's die worden uitgevoerd voor de Salt-master worden ook Salt-runners genoemd. Salt-runners zijn modules die worden gebruikt om gemaksfuncties uit te voeren op de Salt-master. Zie Opdrachten. Als u dit recht toevoegt, kan de rol de optie salt-run gebruiken vanuit de functie Commando uitvoeren (Run command) op het tabblad Minions .

Conformiteit - maken, bewerken, verwijderen en beoordelen (Compliance - create, edit, delete, and assess)

Rol kan SaltStack SecOps Compliance-beleidsregels maken, bewerken, verwijderen en beoordelen. U moet niet alleen rechten voor deze taak verlenen, maar ook resourcetoegang definiëren voor doelen waarvoor de rol acties moet kunnen uitvoeren. Als u bijvoorbeeld wilt dat de rol OracleLinuxAdmin beleidsregels voor een OracleLinux-doel definieert, wijst u de rol zowel rechten toe om deze taak te voltooien, als leestoegang tot het OracleLinux-doel.

Deze taak staat niet toe dat de rol SaltStack SecOps Compliance-beleidsregels corrigeert.

SaltStack SecOps Compliance is een add-on voor SaltStack Config die de naleving van beveiligingsbeleid voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren voor meer informatie.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Conformiteit - corrigeren (Compliance - remediate)

Rol kan niet-conforme minions corrigeren die in een beoordeling van SaltStack SecOps Compliance worden gedetecteerd.

SaltStack SecOps Compliance is een add-on voor SaltStack Config die de naleving van beveiligingsbeleid voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Conformiteit - SaltStack-inhoud bijwerken (Compliance - update SaltStack content)

Rol kan updates naar de SaltStack SecOps Compliance-beveiligingsbibliotheek downloaden.

Kwetsbaarheid - maken, bewerken, verwijderen en beoordelen (Vulnerability - create, edit, delete, and assess)

Rol kan SaltStack SecOps Vulnerability-beleidsregels maken, bewerken, verwijderen en beoordelen. U moet niet alleen rechten voor deze taak verlenen, maar ook resourcetoegang definiëren voor doelen waarvoor de rol beoordelingen moet kunnen uitvoeren.

Deze taak staat niet toe dat de rol SaltStack SecOps Vulnerability-beleidsregels corrigeert.

SaltStack SecOps Vulnerability is een add-on voor SaltStack Config die de kwetsbaarheden voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Kwetsbaarheid - corrigeren (Vulnerability - remediate)

Rol kan kwetsbaarheden corrigeren die in een SaltStack SecOps Vulnerability-beoordeling zijn gedetecteerd.

SaltStack SecOps Vulnerability is een add-on voor SaltStack Config die de kwetsbaarheden voor alle systemen in uw omgeving beheert. Zie SaltStack SecOps gebruiken en beheren.

Opmerking:

Er is een SaltStack SecOps-licentie vereist.

Resourcetoegang

Via het tabblad Resourcetoegang (Resource Access) kunt u resourcetoegang voor doelen en opdrachten definiëren. Een doel is de groep minions, verspreid over een of meer Salt-masters, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-master kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert. Opdrachten worden gebruikt om externe uitvoeringstaken uit te voeren, om staten toe te passen en om Salt-runners te starten.

De verschillende niveaus van resourcetoegang worden hieronder beschreven:

  • Doelen
    • Alleen-lezen (Read Only) - Rol kan het aangegeven doel en de details ervan weergeven, maar niet bewerken of verwijderen.
    • Lezen/Schrijven (Read/Write) - Rol kan het aangegeven doel weergeven en bewerken.
    • Lezen/Schrijven/Verwijderen (Read/Write/Delete) - Rol kan het aangegeven doel weergeven, bewerken en verwijderen.
  • Opdrachten
    • Alleen-lezen (Read Only) - Rol kan de aangegeven opdracht en de details ervan weergeven, maar niet bewerken of verwijderen.
    • Lezen/Uitvoeren (Read/Run) - Rol kan de aangegeven opdracht weergeven en uitvoeren.
    • Lezen/Uitvoeren/Schrijven (Read/Run/Write) - Rol kan de aangegeven opdracht weergeven, bewerken en uitvoeren.
    • Lezen/Uitvoeren/Schrijven/Verwijderen (Read/Run/Write/Delete) - Rol kan de aangegeven opdracht weergeven, bewerken, verwijderen en uitvoeren.
  • Andere resourcetypen (Other resource types) - Toegang tot de volgende resourcetypen moet worden gedefinieerd met de API (RaaS). Zie API-rechten instellen of neem contact op met een beheerder voor hulp.
    • Bestanden op de bestandsserver
    • Pillargegevens
    • Verificatieconfiguratie

Voor alle overige resourcetypen (behalve opdrachten, doelen en de bovenstaande typen) zijn geen specifieke instellingen voor resourcetoegang nodig.

Verschil tussen toegestane taken en resourcetoegang

Een toegestane taak is een brede categorie van toegestane acties, terwijl de resourcetoegang gedetailleerder is, zodat u een bepaalde resource (zoals een opdracht of doel) kunt opgeven, waarvoor de actie kan worden uitgevoerd, zoals in het volgende diagram wordt geïllustreerd.


concept-rechten-resources

In het volgende voorbeeld kan een rol test.ping in de Linux-doelgroep uitvoeren. De rol heeft de volgende rechteninstellingen:

  • Leestoegang tot het Linux-doel
  • Lees-/uitvoeringstoegang tot een opdracht die het commando test.ping bevat

voorbeeld-rechten-resources

Standaard nemen gekloonde rollen toegestane taken over van de oorspronkelijke rol. Gekloonde rollen nemen geen resourcetoegang over, die afzonderlijk moet worden gedefinieerd. Zie Toegang toewijzen aan een opdracht of doel.