In sommige situaties moet u wellicht meer gedetailleerde rolrechten configureren, naast de opties die beschikbaar zijn op het tabblad Taken (Tasks) in de editor Rollen (Roles). Het tabblad Geavanceerd (Advanced) biedt meer uitgebreide controle over taken die een rol kan voltooien.

De volgende stappen moeten worden voltooid door een ervaren Salt-beheerder die uw hele infrastructuur begrijpt.

Geavanceerde rechten definiëren

  1. Klik op Beheer > Rollen (Administration > Roles) in het zijmenu. Selecteer vervolgens het tabblad Geavanceerd (Advanced).
  2. Zorg ervoor dat de vereiste rol is geselecteerd in het zijpaneel Rollen (Roles).
  3. Selecteer of deselecteer de rechten naar behoefte, en kies uit Lezen (Read), Uitvoeren (Run), Schrijven (Write) of Verwijderen (Delete) voor een bereik van functionele gebieden.

    Zie Items voor meer informatie over beschikbare resourcetypen en functionele gebieden.

    Minimale aanbevolen rechten voor een typische gebruikersbewerking worden in het blauw gemarkeerd, zoals u in de volgende afbeelding ziet.


    rollen-geavanceerde-blauwe-markering

    In deze afbeelding ziet u twee minimaal aanbevolen vakjes aan de linkerkant, één vakje ingeschakeld en het andere niet, en ter vergelijking twee normale vakjes aan de rechterkant.

  4. Klik op Opslaan.

Typen rechten

Recht

Beschrijving

Lezen (Read)

Rol kan een bepaald type resource of een functioneel gebied weergeven. Als u bijvoorbeeld de rol ReadTargetGroups toewijst, kan de rol de opgegeven doelen weergeven, evenals details over elk doel.

Uitvoeren (Run)

Rol kan een bepaald type bewerking uitvoeren. Het toegestane type bewerking kan variëren. U kunt bijvoorbeeld toestemming geven om willekeurige commando's op minions uit te voeren of om commando's op Salt-controllers uit te voeren.

Schrijven (Write)

Rol kan een bepaald type resource of functioneel gebied maken en bewerken. U kunt bijvoorbeeld WriteFileServer aan een geavanceerde gebruikersrol toewijzen, zodat de rol bestanden op de bestandsserver kan maken of bewerken. Gebruikers met schrijftoegang kunnen resources bewerken die zij hebben gemaakt, zonder dat er specifieke instellingen voor resourcetoegang nodig zijn.

Verwijderen

Rol kan een bepaald type resource of ander item in een bepaald functioneel gebied verwijderen. U kunt bijvoorbeeld DeletePillar aan een rol toewijzen, zodat de rol een pillar kan verwijderen die niet meer in gebruik is. Gebruikers met het recht Verwijderen (Delete) kunnen resources die ze hebben gemaakt, verwijderen zonder dat ze specifieke instellingen voor resourcetoegang nodig hebben.

Items

Wanneer u rechten voor een rol in de geavanceerde editor instelt, kunnen de bovenstaande acties van toepassing zijn op de volgende resources of functionele gebieden.

Resourcetype / functioneel gebied

Beschrijving

Zie ook

Commando's voor Alle minions (All Minions Commands)

Voer commando's uit op het doel Alle minions (All Minions). Het doel Alle minions (All Minions) kan variëren afhankelijk van de combinatie van minions waarvoor de rol toegangsrechten heeft.

Minions

Beheerder (Admin)

Verleent alleen beheerdersrechten in de gebruikersinterface van SaltStack Config. Beheerderstoegang tot de API (RaaS) is niet inbegrepen. U wordt aanbevolen voorzichtig te zijn wanneer u dit toegangsniveau aan een rol verleent.

Zie Standaardinstellingen voor ingebouwde rollen voor een gedetailleerde beschrijving van de administratieve gebruikersrechten.

Auditlogboek (Audit Log)

Het auditlogboek is een record van alle activiteiten in SaltStack Config met details over de acties van elke gebruiker.

Zie rpc_audit of neem contact op met een beheerder voor hulp.

Commando's (Commands)

Een commando is de taak (of taken) uitgevoerd als onderdeel van een opdracht. Elk commando bevat doelinformatie, een functie en optionele argumenten.

Opdrachten

Bestandsserver (File Server)

De bestandsserver is een locatie voor het opslaan van zowel Salt-specifieke bestanden, zoals top-bestanden of statusbestanden, als bestanden die naar minions kunnen worden gedistribueerd, zoals systeemconfiguratiebestanden.

Bestandsserver

Groepen (Groups)

Groepen zijn verzamelingen gebruikers die algemene kenmerken delen en soortgelijke instellingen voor gebruikerstoegang nodig hebben.

Rollen en rechten

Opdrachten (Jobs)

Opdrachten worden gebruikt om externe uitvoeringstaken uit te voeren, om staten toe te passen en om Salt-runners te starten.

Opdrachten

Licentie (License)

Uw licentie omvat gebruiksmomentopnamen, evenals details zoals het aantal Salt-controllers en minions met een licentie voor uw installatie en wanneer de licentie verloopt.

Zie rpc_license of neem contact op met een beheerder voor hulp.

Configuratie van Salt-controller (Salt Controller Configuration)

Het configuratiebestand van de Salt-controller bevat details over de Salt-controller (voorheen de Salt-master), zoals de Salt-controller-id, de publicatiepoort, het cachinggedrag en meer.

Referentie voor Salt-masterconfiguratie

Salt-controlleresources (Salt Controller Resources)

De Salt-controller is een centraal knooppunt dat wordt gebruikt om commando's uit te geven aan minions.

Referentie voor Salt-master

Metagegevensverificatie (Metadata auth)

De verificatie-interface wordt gebruikt om gebruikers, groepen en rollen te beheren via de RPC API.

Zie rpc_auth of neem contact op met een beheerder voor hulp.

Minionresources (Minion Resources)

Minions zijn knooppunten die gebruikmaken van de minionservice, waarmee wordt geluisterd naar commando's van een Salt-controller om de gevraagde taken uit te voeren.

Minions

Pillar

Pillars zijn structuren van gegevens die in de Salt-controller zijn gedefinieerd en worden doorgegeven aan een of meer minions, met behulp van doelen. Ze staan toe dat vertrouwelijke, getargete gegevens alleen veilig naar de betreffende minion worden verzonden.

Pillars

Gegevens van retourneerder (Returner Data)

Retourneerders ontvangen de gegevens die minions retourneren voor uitgevoerde opdrachten. Ze staan toe dat de resultaten van een Salt-commando naar een bepaalde datastore worden verzonden, zoals een database of logboekbestand voor archivering.

Referentie van retourneerder

Rollen (Roles)

Rollen worden gebruikt om rechten te definiëren voor meerdere gebruikers die een gemeenschappelijke reeks behoeften delen.

Rollen en rechten

Commando's voor runners (Runner Commands)

Een commando is de taak (of taken) uitgevoerd als onderdeel van een opdracht. Elk commando bevat doelinformatie, een functie en optionele argumenten. Salt-runners zijn modules die worden gebruikt om comfortfuncties uit te voeren op de Salt-controller.

Opdrachten

Conformiteitsbeoordeling (Compliance Assessment)

Een beoordeling is een instantie voor het controleren van een verzameling knooppunten voor een bepaalde set beveiligingscontroles, zoals opgegeven in een specifiek SaltStack SecOps Compliance-beleid.

SaltStack SecOps Compliance - Opmerking: Er is een SaltStack SecOps-licentie vereist.

Conformiteitsbeleid (Compliance Policy)

Conformiteitsbeleidsregels bestaan uit verzamelingen beveiligingscontroles en specificaties voor de knooppunten waarop elke controle van toepassing is, in SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Opmerking: Er is een SaltStack SecOps-licentie vereist.

Conformiteitscorrectie (Compliance Remediation)

Correctie is de handeling waarbij niet-conforme knooppunten in SaltStack SecOps Compliance worden gecorrigeerd.

SaltStack SecOps Compliance - Opmerking: Er is een SaltStack SecOps-licentie vereist.

Opname van conformiteitsinhoud - SaltStack (Compliance Content Ingest - SaltStack)

Als u SaltStack SecOps Compliance-inhoud opneemt, kunt u de beveiligingsbibliotheek van SaltStack SecOps Compliance downloaden of bijwerken.

SaltStack SecOps Compliance - Opmerking: Er is een SaltStack SecOps-licentie vereist.

Opname van conformiteitsinhoud - Aangepast (Compliance Content Ingest - Custom)

Met aangepaste conformiteitsinhoud kunt u uw eigen beveiligingsstandaarden definiëren als aanvulling op de bibliotheek met beveiligingsbenchmarks en -controles die zijn in ingebouwd in SaltStack SecOps Compliance. De opname van aangepaste inhoud is bedoeld om aangepaste controles en benchmarks te uploaden.

SaltStack SecOps Compliance - Opmerking: Er is een SaltStack SecOps-licentie vereist.

Aangepaste conformiteitsinhoud (Compliance Custom Content)

Met aangepaste conformiteitsinhoud kunt u uw eigen beveiligingsstandaarden definiëren als aanvulling op de bibliotheek met beveiligingsbenchmarks en -controles die zijn in ingebouwd in SaltStack SecOps Compliance.

SaltStack SecOps Compliance - Opmerking: Er is een SaltStack SecOps-licentie vereist.

Planningen (Schedules)

Planningen worden gebruikt om opdrachten op een vooraf gedefinieerde tijd of met een specifiek interval uit te voeren.

Planningen

SSH-commando's (SSH Commands)

Secure Shell-commando's (SSH) worden uitgevoerd op minions waarop de minionservice niet is geïnstalleerd.

Referentie voor Salt SSH

Doelgroepen (Target Groups)

Een doel is de groep minions, verspreid over een of meer Salt-controllers, waarop het Salt-commando van een opdracht van toepassing is. Een Salt-controller kan ook worden beheerd als een minion en kan een doel zijn als deze de minionservice uitvoert.

Minions

Gebruikers

Gebruikers zijn individuele personen die een eigen SaltStack Config-account bij uw organisatie hebben.

Rollen en rechten

Kwetsbaarheidsbeoordeling (Vulnerability Assessment)

Een kwetsbaarheidsbeoordeling is een instantie voor het scannen van een verzameling knooppunten op kwetsbaarheden als onderdeel van een SaltStack SecOps Vulnerability-beleid.

SaltStack SecOps Vulnerability - Opmerking: er is een SaltStack SecOps-licentie vereist.

Kwetsbaarheidsbeleid (Vulnerability Policy)

Een kwetsbaarheidsbeleid bestaat uit een doel en een beoordelingsplanning. Het doel bepaalt welke minions worden gebruikt voor een beoordeling en de planning bepaalt wanneer de beoordelingen worden uitgevoerd. Een beveiligingsbeleid slaat ook de resultaten van de meest recente beoordeling op in SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Opmerking: er is een SaltStack SecOps-licentie vereist.

Correctie van kwetsbaarheid (Vulnerability Remediation)

Correctie is de handeling waarbij patches worden toegepast op kwetsbaarheden in SaltStack SecOps Vulnerability.

SaltStack SecOps Vulnerability - Opmerking: er is een SaltStack SecOps-licentie vereist.

Opname van kwetsbaarheidsinhoud (Vulnerability Content Ingest)

De SaltStack SecOps Vulnerability-inhoud is een bibliotheek van adviezen op basis van de nieuwste CVE-vermeldingen (Common Vulnerabilities and Exposures). Als u SaltStack SecOps Vulnerability-inhoud opneemt, kunt u de nieuwste versie van de inhoudsbibliotheek downloaden.

SaltStack SecOps Vulnerability - Opmerking: er is een SaltStack SecOps-licentie vereist.

Kwetsbaarheden importeren van leverancier (Vulnerability Vendor Import)

SaltStack SecOps Vulnerability ondersteunt het importeren van beveiligingsscans die zijn gegenereerd door verschillende externe leveranciers. Met dit recht kan een gebruiker scanresultaten van kwetsbaarheden uit een bestand of via een connector importeren.

Standaard hebben alle SaltStack Config-gebruikers toegang tot de werkplek Connectoren (Connectors). Het recht om Kwetsbaarheden importeren van leverancier (Vulnerability Vendor Import) uit te voeren, evenals een SaltStack SecOps Vulnerability-licentie, zijn vereist voor een gebruiker om kwetsbaarheden van een connector te importeren.

Connectoren, SaltStack SecOps Vulnerability - Opmerking: er is een SaltStack SecOps-licentie vereist.

Wheelcommando's (Wheel Commands)

Wheelcommando's bepalen hoe de Salt-controller werkt en worden gebruikt om sleutels te beheren.

Referentie voor Salt Wheel

Resourcetoegang in de API

Toegang tot de volgende resourcetypen moet worden gedefinieerd met behulp van de API (RaaS):

  • Bestanden op de bestandsserver
  • Pillargegevens
  • Verificatieconfiguratie

Voor alle overige resourcetypen (behalve opdrachten, doelen en de bovenstaande typen) zijn geen specifieke instellingen voor resourcetoegang nodig.