在某些情況下,除了透過角色編輯器中 [工作] 索引標籤提供的選項之外,可能還需要設定更細微的角色權限。透過 [進階] 索引標籤,可針對角色可完成的工作進行更全面的控制。

下列步驟應由瞭解整體基礎結構的資深 Salt 管理員完成。

定義進階權限

  1. 按一下側邊功能表上的管理 > 角色。然後,選取進階索引標籤。
  2. 確保已在角色側邊面板中選取所需的角色。
  3. 根據需要選取或取消選取權限,針對一系列功能區域選擇讀取、執行、寫入或刪除。

    如需有關可用資源類型和功能區域的詳細資訊,請參閱項目

    一般使用者作業的最低建議權限將以藍色反白顯示,如下圖所示。


    roles-advanced-blue-highlighting

    此圖的左側顯示了兩個最低建議權限方塊,其中一個已選取,另一個未選取,而右側顯示了兩個一般方塊。

  4. 按一下儲存

權限類型

權限

說明

讀取

角色可以檢視指定類型的資源或功能區域。例如,如果指派角色 ReadTargetGroups,則角色可以檢視您指定的目標以及各個目標的相關詳細資料。

執行

角色可以執行指定類型的作業。允許的作業類型可能有所不同,例如,可以指派對部屬節點執行任意命令的權限,也可以指派對 Salt 控制器執行命令的權限。

寫入

角色可以建立和編輯指定類型的資源或功能區域。例如,可以將 WriteFileServer 指派給進階使用者角色,使該角色能夠在檔案伺服器中建立或編輯檔案。具有寫入權限的使用者可以編輯已建立的資源,而不需要任何特定的資源存取設定。

刪除

角色可以刪除指定類型的資源或指定功能區域內的其他項目。例如,可以將 DeletePillar 指派給某個角色,使該角色能夠刪除不再使用的 pillar。具有刪除權限的使用者可以刪除已建立的資源,而不需要任何特定的資源存取設定。

項目

在進階編輯器中為角色設定權限時,上述動作可適用於以下資源或功能區域。

資源類型/功能區域

說明

另請參閱

所有部屬節點命令

對 [所有部屬節點] 目標執行命令。[所有部屬節點] 目標可能會因角色有權存取的部屬節點組合而有所不同。

部屬節點

管理

僅在 SaltStack Config 使用者介面中授與管理權限。請注意,這不包括對 API (RaaS) 的管理存取權。最佳做法是,向角色授與此層級的存取權時,請務必謹慎。

如需管理使用者權限的詳細說明,請參閱〈內建角色預設設定〉

稽核記錄

稽核記錄是 SaltStack Config 中所有活動的記錄,其中包括每個使用者動作的詳細資料。

請參閱 rpc_audit,或連絡管理員以尋求協助。

命令

命令是作為工作一部分執行的一或多個任務。每個命令包括目標資訊、函數和可選引數。

工作

檔案伺服器

檔案伺服器是一個位置,用於儲存 Salt 特定檔案 (例如 top 檔案或狀態檔案) 以及可散佈到部屬節點的檔案 (例如系統組態檔)。

檔案伺服器

群組

群組是具有共同特性且需要類似使用者存取設定之使用者的集合。

角色和權限

工作

工作用於執行遠端執行工作、套用狀態和啟動 Salt 執行器。

工作

授權

您的授權包括使用情況快照,以及授權進行安裝的 Salt 控制器和部屬節點數目和授權到期時間等詳細資料。

請參閱 rpc_license,或連絡管理員以尋求協助。

Salt 控制器組態

Salt 控制器組態檔包含有關 Salt 控制器 (以前稱為 Salt 主節點) 的詳細資料,例如 Salt 控制器識別碼、發佈連接埠、快取行為等。

Salt 主節點組態參考

Salt 控制器資源

Salt 控制器是用於向部屬節點發出命令的中央節點。

Salt 主節點參考

中繼資料驗證

可以使用驗證介面透過 RPC API 管理使用者、群組和角色。

請參閱 rpc_auth,或連絡管理員以尋求協助。

部屬節點資源

部屬節點是執行部屬節點服務的節點,可以接聽 Salt 控制器的命令並執行請求的工作。

部屬節點

Pillar

Pillar 是在 Salt 控制器上定義並使用目標傳遞到一或多個部屬節點的資料結構。僅允許將機密的目標資料安全地傳送到相關部屬節點。

Pillar

傳回程式資料

傳回程式會收到所執行工作傳回的資料部屬節點。允許將 Salt 命令的結果傳送到指定的資料存放區,例如,用於封存的資料庫或記錄檔。

傳回程式參考

角色

角色可用來為具有一組共同需求的多個使用者定義權限。

角色和權限

執行器命令

命令是作為工作一部分執行的一或多個任務。每個命令包括目標資訊、函數和可選引數。Salt 執行器是用於在 Salt 控制器上執行便利函數的模組。

工作

合規性評估

評估是按照 SaltStack SecOps Compliance 原則中指定的一組給定安全性檢查對一系列節點進行檢查的執行個體。

SaltStack SecOps Compliance - 附註:需要 SaltStack SecOps 授權。

合規性原則

合規性原則是 SaltStack SecOps Compliance 中的安全性檢查以及節點套用每項檢查所依據的規格的集合。

SaltStack SecOps Compliance - 附註:需要 SaltStack SecOps 授權。

合規性修復

修復是在 SaltStack SecOps Compliance 中更正不合規節點的行為。

SaltStack SecOps Compliance - 附註:需要 SaltStack SecOps 授權。

合規性內容擷取 - SaltStack

擷取 SaltStack SecOps Compliance 內容是指下載或更新 SaltStack SecOps Compliance 安全性程式庫。

SaltStack SecOps Compliance - 附註:需要 SaltStack SecOps 授權。

合規性內容擷取 - 自訂

自訂合規性內容可讓您定義自己的安全標準,以補充 SaltStack SecOps Compliance 中內建的安全性基準和檢查的程式庫。擷取自訂內容是指上傳自訂檢查和基準。

SaltStack SecOps Compliance - 附註:需要 SaltStack SecOps 授權。

合規性自訂內容

自訂合規性內容可讓您定義自己的安全標準,以補充 SaltStack SecOps Compliance 中內建的安全性基準和檢查的程式庫。

SaltStack SecOps Compliance - 附註:需要 SaltStack SecOps 授權。

排程

排程用於在預先定義的時間或特定時間間隔執行工作。

排程

SSH 命令

Secure Shell (SSH) 命令將在未安裝部屬節點服務的部屬節點上執行。

Salt SSH 參考

目標群組

目標是指一或多個 Salt 控制器中的一組部屬節點,將為其套用工作的 Salt 命令。Salt 控制器也可以像部屬節點一樣進行管理,如果正在執行部屬節點服務,也可以成為目標。

部屬節點

使用者

使用者是在您的組織中具有 SaltStack Config 帳戶的個人。

角色和權限

漏洞評估

漏洞評估是作為 SaltStack SecOps Vulnerability 原則的一部分掃描一系列節點中是否存在漏洞的執行個體。

SaltStack SecOps Vulnerability - 附註:需要 SaltStack SecOps 授權。

漏洞原則

漏洞原則由目標和評估排程組成。目標用於確定要納入評估中的部屬節點,而排程用於確定何時執行評估。此外,安全性原則還會將最新評估的結果儲存在 SaltStack SecOps Vulnerability 中。

SaltStack SecOps Vulnerability - 附註:需要 SaltStack SecOps 授權。

漏洞修復

修復是指在 SaltStack SecOps Vulnerability 中修補漏洞的行為。

SaltStack SecOps Vulnerability - 附註:需要 SaltStack SecOps 授權。

漏洞內容擷取

SaltStack SecOps Vulnerability 內容是包含以最新常見漏洞與披露 (CVE) 項目為基礎之建議的程式庫。擷取 SaltStack SecOps Vulnerability 內容是指下載最新版本的內容程式庫。

SaltStack SecOps Vulnerability - 附註:需要 SaltStack SecOps 授權。

漏洞廠商匯入

SaltStack SecOps Vulnerability 支援匯入由多個第三方廠商產生的安全性掃描。此權限允許使用者從檔案或透過連接器匯入漏洞掃描結果。

依預設,所有 SaltStack Config 使用者都可以存取 [連接器] 工作區。但是,使用者需要具有執行漏洞廠商匯入的權限以及 SaltStack SecOps Vulnerability 授權,才能成功地從連接器匯入漏洞。

連接器SaltStack SecOps Vulnerability - 附註:需要 SaltStack SecOps 授權。

Wheel 命令

Wheel 命令將控制 Salt 控制器的運作方式,並且可用於管理金鑰。

Salt Wheel 參考

API 中的資源存取

必須使用 API (RaaS) 定義以下資源類型的存取權:

  • 檔案伺服器中的檔案
  • Pillar 資料
  • 驗證組態

所有其他資源類型 (工作、目標及以上所列項目除外) 不需要任何特定的資源存取設定。