SaltStack Config 隨附一些無法刪除的內建角色。此外,還提供了可針對您自己的獨特需求建立自訂定義的角色的工具。
內建角色
SaltStack Config 包括以下內建角色:
- 使用者 - 指派給所有新的本機使用者、SSO 和 LDAP 使用者的預設角色。「使用者」角色涵蓋了執行許多基本功能所需的基本權限,例如讀取權限。指派有此角色的使用者可以檢視和執行工作,並且可以檢視某些部屬節點和工作類型的工作歷程記錄、工作傳回資料以及報告,但僅限於該角色的資源存取設定。
- 管理員 - 此角色需要存取比使用者角色更進階的工具,因此可以存取 [系統管理]。管理員可以檢視 (在某些情況下可以編輯) 在使用者設定和 pillar 中找到的機密資料。該角色可以建立、更新和刪除資源,例如檔案、工作和目標。設定新節點時,管理員還可以根據需要管理金鑰。
- 超級使用者 - 超級使用者可以在 SaltStack Config 中執行任何作業,其中包括存取 [系統管理]。已向「超級使用者」角色指派
root
。該角色無法刪除或複製。您可以將任何群組或使用者新增至該角色,但無法修改角色的任何其他設定。只應將進階使用者新增至「超級使用者」角色,因為它可以有效地繞過權限限制。
自訂定義的角色
若要補充 SaltStack Config 的內建角色,您可以建立自訂角色。自訂角色可協助您根據組織需求為不同的使用者設定檔定義更有針對性的資源存取權。例如,您可以為負責管理 CentOS 節點的使用者建立 CentOS 管理員角色,為負責管理 RedHat 節點的使用者建立 RedHat 管理員角色。
使用者
資源類型/功能區域 | 讀取 | 執行 | 寫入 | 刪除 |
---|---|---|---|---|
背景工作 | X | |||
命令 | X | |||
檔案伺服器 | X | |||
工作 | X | X | ||
授權 | X | |||
Salt 控制器組態 | X | |||
Salt 控制器檔案伺服器 | X | |||
Salt 控制器 | X | |||
中繼資料驗證 | X | |||
部屬節點 | X | |||
傳回程式 | X | |||
排程 | X | X | X | |
SaltStack SecOps Compliance 原則附註:需要授權 | X | |||
SaltStack SecOps Vulnerability 原則附註:需要 SaltStack SecOps Vulnerability 授權 | X | |||
目標 | X | |||
所有部屬節點命令 | X |
管理員
資源類型/功能區域 | 讀取 | 執行 | 寫入 | 刪除 |
---|---|---|---|---|
背景工作 | X | |||
命令 | X | X | X | |
執行器命令 | X | |||
SSH 命令 | X | X | X | X |
Wheel 命令 | X | |||
檔案伺服器 | X | X | X | |
工作 | X | X | X | X |
授權 | X | |||
中繼資料驗證 | X | X | ||
部屬節點 | X | X | ||
Pillar | X | X | X | |
傳回程式 | X | X | ||
角色 | X | X | X | |
排程 | X | X | X | |
SaltStack SecOps Compliance 原則附註:需要 SaltStack SecOps 授權 | X | |||
SaltStack SecOps Vulnerability 原則附註:需要 SaltStack SecOps 授權 | X | |||
目標 | X | X | X | |
所有部屬節點命令 | X | |||
使用者 | X | X | X |
超級使用者
「超級使用者」角色可以在 SaltStack Config 中執行任何作業。