В SaltStack Config включено несколько встроенных ролей, которые нельзя удалить. При этом существует возможность создавать настраиваемые роли для специфических потребностей пользователей.
Встроенные роли
В SaltStack Config имеются следующие встроенные роли.
- Пользователь. Стандартная роль, которая назначается всем новым локальным пользователям, пользователям, применяющим систему единого входа и LDAP. Роль «Пользователь» предусматривает базовые разрешения (например, доступ для чтения), которые необходимы для выполнения множества основных функций. Пользователи с этой ролью могут просматривать и выполнять задания, а также просматривать историю заданий, возвращенные результаты и отчеты для отдельных служебных серверов и типов заданий в рамках ограничений доступа к ресурсам для этой роли.
- Администратор. Этой роли требуется доступ к более широкому диапазону средств, чем роли пользователя, для выполнения функций системного администрирования. Администраторы могут просматривать (а в некоторых случаях изменять) конфиденциальные данные в настройках пользователя и в модулях pillar. Обладатели этой роли могут создавать, обновлять и удалять такие ресурсы, как файлы, задания и целевые объекты. При настройке новых узлов администраторы также могут по мере необходимости управлять ключами.
- Привилегированный пользователь. Привилегированные пользователи могут выполнять любую операцию в SaltStack Config, включая функции системного администрирования. Для роли привилегированного пользователя назначается право доступа
root. Роль нельзя удалить или клонировать. Роль можно назначить любому пользователю или группе, но изменить какие-либо настройки роли нельзя. На роль привилегированного пользователя следует назначать только опытных пользователей, поскольку она позволяет фактически выходить за границы разрешений.
Настраиваемые роли
В дополнение к встроенным ролям SaltStack Config можно создать настраиваемые роли. С помощью настраиваемых ролей можно установить более точный адресный доступ к ресурсам для разных профилей пользователей в зависимости от потребностей организации. Например, можно создать роль администратора CentOS для пользователей, которые занимаются администрированием узлов CentOS, а роль администратора RedHat — для пользователей, отвечающих за узлы RedHat.
Пользователь
| Тип ресурса или функциональная область | Чтение | Выполнение | Запись | Удалить |
|---|---|---|---|---|
| Фоновые задания | X | |||
| Команды | X | |||
| Файловый сервер | X | |||
| Задания | X | X | ||
| Лицензия | X | |||
| Конфигурация контроллера Salt | X | |||
| Файловый сервер контроллера Salt | X | |||
| Контроллер Salt | X | |||
| Метаданные auth | X | |||
| Служебный сервер | X | |||
| Модуль возврата | X | |||
| Расписание | X | X | X | |
| Политики SaltStack SecOps Compliance. Примечание. Требуется лицензия. | X | |||
| Политики SaltStack SecOps Vulnerability. Примечание. Требуется лицензия на SaltStack SecOps Vulnerability. | X | |||
| Целевые объекты | X | |||
| Команды области «Все служебные серверы» | X |
Администратор
| Тип ресурса или функциональная область | Чтение | Выполнение | Запись | Удалить |
|---|---|---|---|---|
| Фоновые задания | X | |||
| Команды | X | X | X | |
| Команды модулей выполнения | X | |||
| Команды SSH | X | X | X | X |
| Команды wheel | X | |||
| Файловый сервер | X | X | X | |
| Задания | X | X | X | X |
| Лицензия | X | |||
| Метаданные auth | X | X | ||
| Служебный сервер | X | X | ||
| Pillar | X | X | X | |
| Модуль возврата | X | X | ||
| Роль | X | X | X | |
| Расписание | X | X | X | |
| Политики SaltStack SecOps Compliance. Примечание. Требуется лицензия SaltStack SecOps. | X | |||
| Политики SaltStack SecOps Vulnerability. Примечание. Требуется лицензия SaltStack SecOps. | X | |||
| Целевые объекты | X | X | X | |
| Команды области «Все служебные серверы» | X | |||
| Пользователи | X | X | X |
Привилегированный пользователь
Обладатели роли привилегированного пользователя могут выполнять любую операцию в SaltStack Config.
