Благодаря системе контроля доступа на основе ролей (RBAC) в SaltStack Config можно определить настройки разрешений сразу для нескольких пользователей, так как эти настройки для роли применяются ко всем пользователям в рамках данной роли. Эти настройки можно определить в рабочей области «Роли» в пользовательском интерфейсе.

Разрешения для ролей являются кумулятивными. Пользователи, которым назначено несколько ролей, получают доступ ко всем разрешениям, предоставляемым каждой ролью. Благодаря этому пользователи с похожими обязанностями получают одни и те же настройки разрешений, а пользователи с широкими обязанностями имеют доступ ко всем необходимым функциям.

В SaltStack Config включено несколько встроенных ролей, которые нельзя удалить. Кроме того, при необходимости можно создать специальные настраиваемые роли для организации. См. раздел Стандартные роли и настройки.

Для предоставления обладателю роли разрешения на выполнение задачи необходимо определить разрешенную задачу, а также назначить доступ к ресурсу или функциональной области. Разрешение представляет собой широкую категорию допустимых действий, тогда как доступ к ресурсам позволяет определить конкретный ресурс (например, задание или целевой объект), для которого можно выполнить заданное действие. См. раздел Разница между разрешенными задачами и доступом к ресурсам.

Доступ к ресурсам для некоторых типов ресурсов и функциональных областей следует определять в API-интерфейсе (RaaS), а не в редакторе ролей. См. раздел Доступ к ресурсам.

Создание роли

В некоторых случаях может быть удобнее клонировать существующую роль, чем создать новую. Можно сначала клонировать существующую роль, а затем изменить клон требуемым образом.

  1. В боковом меню выберите Администрирование > Роли.
  2. Щелкните Создать.
  3. Введите новое имя для своей роли.
  4. В разделе Задачи выберите разрешенные действия для роли. Описание доступных задач см. в разделе Задачи.
  5. Нажмите Сохранить.

    Вы выполнили минимально необходимые действия для создания роли. Дополнительные сведения об определении настроек роли см. в Редактирование роли.

Клонирование роли

  1. В рабочей области «Роли» выберите роль, которую нужно клонировать.
    Примечание: Из соображений безопасности встроенную роль «Привилегированный пользователь» клонировать нельзя, так как это зарезервированное имя.
  2. Нажмите кнопку Клонировать.
  3. Введите новое имя для своей роли, а затем нажмите Сохранить.

    Вы выполнили минимально необходимые действия для клонирования роли. Дополнительные сведения об определении настроек роли см. в Редактирование роли.

    Примечание: Клонированные роли наследуют разрешенные задачи из исходной роли по умолчанию. Клонированные роли не наследуют доступ к ресурсам, который необходимо определить отдельно. См. раздел Назначение доступа к заданию или целевому объекту.

Редактирование роли

  1. В рабочей области «Роли» выберите роль, которую нужно отредактировать.
  2. Перейдите на любую вкладку («Задачи», «Доступ к ресурсам», «Группы» или «Пользователи») и отредактируйте настройки роли требуемым образом.

    Дополнительные сведения о редактировании на каждой вкладке см. ниже.

  3. Перед переходом на другую вкладку нажмите Сохранить после внесения изменений.
Примечание: Выше описано, как отредактировать роль, используя стандартный редактор. SaltStack Config также содержит расширенный редактор, который рекомендуется использовать только опытным пользователям. Дополнительные сведения о расширенном редакторе см. в разделе Дополнительные разрешения.

Настройка разрешенных задач

  1. В рабочей области «Роли» выберите роль, которую нужно отредактировать.
  2. На вкладке Задачи выберите разрешенные задачи для назначения роли. Задачи представляют собой типовые примеры использования в SaltStack Config. Активация задачи предоставляет роли все разрешения, необходимые для ее выполнения.

    Описание задач см. в разделе Задачи.

  3. Нажмите Сохранить.
Примечание: В дополнение к назначению разрешения необходимо включить доступ к конкретным ресурсам (например, к заданию или целевому объекту), чтобы роль могла выполнять действия с ними. См. раздел Разница между разрешенными задачами и доступом к ресурсам.

Назначение доступа к заданию или целевому объекту

  1. В рабочей области «Роли» выберите роль, которую нужно отредактировать.
  2. На вкладке Доступ к ресурсам найдите требуемое задание или целевой объект и выберите нужный уровень доступа. Например, чтобы разрешить роли выполнять задания, необходимо выбрать уровень Чтение/выполнение.

    Если ресурс, который нужно выбрать, не отображается, щелкните Показать все целевые объекты или Показать все задания соответственно.


    roles-show-jobs

    В SaltStack Config задания и целевые объекты считаются разными типами ресурсов. Дополнительные сведения о доступе к ресурсам см. в разделе Доступ к ресурсам.

  3. Нажмите Сохранить.
Примечание: В дополнение к назначению доступа к ресурсам для задания также необходимо назначить доступ к целевому объекту, для которого должно выполняться задание, а также разрешение на выполнение заданий. См. раздел Разница между разрешенными задачами и доступом к ресурсам.

Добавление или удаление групп

  1. В рабочей области «Роли» выберите роль, которую нужно отредактировать.
  2. На вкладке Группы выберите группы, которые необходимо включить в роль.

    Импорт групп выполняется через соединение со службой каталогов. Если нужная группа не отображается, убедитесь, что вы добавили соединение и синхронизировали группы.

    Все группы, которые вы удаляете из соединения со службой каталогов, архивируются. Даже в том случае, если пользователи не активны и не могут войти в систему, они по-прежнему отображаются в рабочей области «Роли».

    Примечание: Разрешения для ролей являются кумулятивными. Пользователи в группах, которым назначено несколько ролей, получают доступ к комбинации всех элементов, предоставляемых каждой ролью.
  3. Нажмите Сохранить.

    Выбранным группам, включая всех пользователей в этих группах, теперь предоставляется доступ ко всем разрешенным задачам и ресурсам, определенным в настройках роли.

Добавление или удаление пользователей

Пользователи наследуют настройки разрешений (например, назначение роли) из групп, к которым они относятся. Рекомендуется добавлять отдельных пользователей не в состав обладателей роли, а в группу, которая относится к данной роли. Все новые пользователи получают роль «Пользователь» по умолчанию. См. раздел Стандартные роли и настройки.

  1. В рабочей области «Роли» выберите роль, которую нужно отредактировать.
  2. На вкладке Пользователи выберите пользователей, которым необходимо присвоить роль.

    Рабочая область «Роли» позволяет управлять настройками для отдельных пользователей, включенных в группу «Служба каталогов», только после первого входа пользователя в систему. Дополнительные сведения см. в разделе Проверка подлинности по протоколу LDAP.

  3. Нажмите Сохранить.

Дополнительные сведения

В следующих статьях содержится более подробная информация о связанных с RBAC понятиях, которые используются в SaltStack Config.