Дополнительные разрешения и типы элементов

В некоторых ситуациях может понадобиться настроить разрешения для ролей с большей детализацией, которая не предусмотрена параметрами вкладки Задачи в редакторе Роли. Вкладка «Дополнительно» позволяет более тщательно управлять задачами, которые может выполнять роль.

Типы разрешений


Разрешение	Описание
Чтение	Обладатель роли может просматривать ресурс или функциональную область указанного типа. Например, если роли назначено разрешение `ReadTargetGroups`, обладатель роли может просматривать заданные целевые объекты, а также сведения о каждом целевом объекте.
Выполнение	Обладатель роли может выполнять операции указанного типа. Типы разрешенных операций могут различаться. Например, можно разрешить выполнение произвольных команд на служебных серверах или на контроллерах Salt.
Запись	Обладатель роли может создавать и изменять ресурс или функциональную область указанного типа. Например, если роли с расширенными полномочиями назначено разрешение `WriteFileServer`, обладатель роли может создавать или изменять файлы на файловом сервере. Пользователи с разрешением на запись могут редактировать созданные ими ресурсы без указания каких-либо дополнительных параметров доступа к ресурсам.
Удалить	Обладатель роли может удалять ресурс или другой элемент заданного типа в данной функциональной области. Например, если роли назначено разрешение `DeletePillar`, обладатель роли может удалить неиспользуемый объект pillar. Пользователи с разрешением на удаление могут удалять созданные ими ресурсы без указания каких-либо дополнительных параметров доступа к ресурсам.

Элементы

При настройке разрешений для роли в расширенном редакторе указанные выше действия могут применяться к следующим ресурсам и функциональным областям.


Тип ресурса или функциональная область	Описание	См. также
Команды области «Все служебные серверы»	Выполнение команд в целевой области «Все служебные серверы». Целевая область «Все служебные серверы» может меняться в зависимости от комбинации серверов, доступ к которым разрешен для роли.
Администратор	Предоставление административных прав только в интерфейсе пользователя Automation Config. Следует иметь в виду, что этот параметр не подразумевает административный доступ к API-интерфейсу (RaaS). При предоставлении роли с таким уровнем доступа следует соблюдать осторожность.	Определение ролей пользователей
Журнал аудита	Журнал аудита содержит записи всех действий в Automation Config и сведения о них.	См. rpc_audit или обратитесь за помощью к администратору.
Команды	Команда — это как минимум одна задача, выполняемая в рамках задания. Каждая команда включает в себя информацию о целевом объекте, функцию и дополнительные аргументы.	Задания
Файловый сервер	Файловый сервер — это место для хранения специальных файлов Salt, например top-файлов или файлов состояния, а также файлов, которые могут распространяться среди служебных серверов, например файлов системной конфигурации.	Файловый сервер
Группы	Группы — это объединения пользователей с общими характеристиками и одинаковыми параметрами доступа.	Определение ролей пользователей
Задания	Задания используются для выполнения удаленно исполняемых задач, применения состояний и запуска модулей выполнения системы Salt.	Задания
Лицензия	Лицензия включает в себя моментальные снимки использования ресурсов, а также такие сведения, как количество контроллеров и служебных серверов Salt, предусмотренных лицензией для вашей среды, и срок действия лицензии.	См. rpc_license или обратитесь за помощью к администратору.
Конфигурация контроллера Salt	Файл конфигурации контроллера Salt содержит сведения о контроллере Salt (прежнее название — главный сервер Salt), например идентификатор контроллера Salt, порт публикации, порядок кэширования и другие.	Справочник по конфигурации главного сервера Salt
Ресурсы контроллера Salt	Контроллер Salt — это центральный узел, который используется для выдачи команд служебным серверам.	Справочник по главному серверу Salt
Метаданные auth	Интерфейс AUTH используется для управления пользователями, группами и ролями через API-интерфейс RPC.	См. rpc_auth или обратитесь за помощью к администратору.
Ресурсы служебных серверов	Служебные серверы (minion) — это узлы, работающие под управлением службы Minion. Они могут прослушивать команды, поступающие от контроллера Salt, и выполнять запрашиваемые задачи.
Pillar	Модули pillar — это структуры данных, которые определяются на контроллере Salt и передаются на один служебный сервер или несколько с использованием целевых объектов. Они позволяют безопасно отправить конфиденциальные целевые данные только соответствующему служебному серверу.	Создание файлов состояния и данных хранилища pillar
Данные модулей возврата	Модули возврата (returner) получают данные от служебных серверов после выполнения заданий. Они позволяют отправлять результаты выполнения команды Salt в заданное хранилище данных, например в базу данных или файл журнала для архивации.	Справочник по модулям возврата
Роли	Роли используются для назначения разрешений нескольким пользователям с одинаковыми потребностями.	Определение ролей пользователей
Команды модулей выполнения	Команда — это как минимум одна задача, выполняемая в рамках задания. Каждая команда включает в себя информацию о целевом объекте, функцию и дополнительные аргументы. Модули выполнения (runner) системы Salt используются для выполнения вспомогательных функций на контроллере Salt.	Задания
Оценка соответствия нормативным требованиям	Оценка — это экземпляр проверки объединения узлов из заданного набора проверок безопасности, определенного в политике Automation for Secure Hosts Compliance.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Политика соответствия требованиям	Политики соответствия требованиям — это наборы проверок безопасности и описания распределения проверок по узлам в Automation for Secure Hosts Compliance.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Исправление несоответствия нормативным требованиям	Под исправлением понимается действие по корректировке несоответствующих требованиям узлов в Automation for Secure Hosts Compliance.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Прием содержимого, связанного с соответствием нормативным требованиям, — Automation Config	Прием содержимого Automation for Secure Hosts Compliance — это загрузка или обновление библиотеки безопасности Automation for Secure Hosts Compliance.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Прием содержимого, связанного с соответствием нормативным требованиям. Настраиваемое	Настраиваемое содержимое, связанное с соответствием нормативным требованиям, позволяет определить собственные стандарты безопасности, которые дополнят библиотеку сравнительных тестов и проверок безопасности, встроенную в Automation for Secure Hosts Compliance. Прием настраиваемого содержимого — это отправка настраиваемых проверок и тестов.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Настраиваемое содержимое, связанное с соответствием нормативным требованиям	Настраиваемое содержимое, связанное с соответствием нормативным требованиям, позволяет определить собственные стандарты безопасности, которые дополнят библиотеку сравнительных тестов и проверок безопасности, встроенную в Automation for Secure Hosts Compliance.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Расписания	Расписания используются для выполнения заданий в заранее определенное время или через заданный интервал времени.	Задания
Команды SSH	Команды Secure Shell (SSH) выполняются на служебных серверах, на которых не установлена служба Minion.	Справочник по SSH Salt
Целевые группы	Целевой объект — это группа служебных серверов, связанных с одним контроллером Salt или несколькими, которой предназначена команда Salt определенного задания. Контроллером Salt можно управлять так же, как служебным сервером. Этот контроллер может выступать в роли целевого объекта, если на нем выполняется служба Minion.	Использование рабочей области «Целевые объекты»
Пользователи	Пользователи — это отдельные лица, у которых имеется учетная запись Automation Config в организации.	Определение ролей пользователей
Оценка уязвимости	Оценка уязвимости — это цикл сканирования набора узлов на наличие уязвимостей в рамках политики Automation for Secure Hosts Vulnerability.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Политика уязвимостей	Политика уязвимостей состоит из целевого объекта и расписания оценки. Целевой объект определяет служебные серверы, которые следует включить в оценку, а расписание определяет время запуска оценки. Политика безопасности также сохраняет результаты последней оценки в Automation for Secure Hosts Vulnerability.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts
Устранение уязвимостей	Под устранением уязвимостей понимается действие по исправлению уязвимостей в Automation for Secure Hosts Vulnerability.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Прием содержимого, связанного с уязвимостями	Содержимое Automation for Secure Hosts Vulnerability — это библиотека рекомендаций, основанных на последних записях системы CVE (Common Vulnerabilities and Exposures, «общие уязвимости и факторы риска»). Прием содержимого Automation for Secure Hosts Vulnerability — это загрузка актуальной версии библиотеки содержимого.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Импорт данных поставщика средств безопасности	Automation for Secure Hosts Vulnerability поддерживает импорт результатов сканирования безопасности, проведенного различными сторонними поставщиками. Это разрешение позволяет пользователю импортировать результаты сканирования на предмет уязвимостей из файла или через соединитель. По умолчанию доступ к рабочей области «Соединители» разрешен всем пользователям Automation Config. Тем не менее для того, чтобы импортировать данные об уязвимостях из соединителя, пользователю требуются разрешение на импорт данных поставщика средств безопасности, а также лицензия Automation for Secure Hosts Vulnerability.	Использование и настройка Secure Hosts Примечание: Требуется лицензия Automation for Secure Hosts.
Команды wheel	Команды wheel управляют работой контроллера Salt и используются для управления ключами.	Справочник по командам wheel в Salt

Доступ к ресурсам в API-интерфейсе

С помощью API-интерфейса (RaaS) необходимо определить доступ к ресурсам следующих типов.

Файлы на файловом сервере
Данные pillar
Конфигурация проверки подлинности

Для всех других типов ресурсов, кроме заданий, целевых объектов и ресурсов, указанных выше, не требуется использовать конкретные параметры доступа.