設定角色型存取控制 (RBAC)

在 SaltStack Config 角色型存取控制 (RBAC) 系統中，可以一次為多個使用者定義權限設定，因為角色的權限設定將套用至該角色中包括的所有使用者。可以在使用者介面的 [角色] 工作區中定義這些設定。

角色權限是累加的。指派給多個角色的使用者可以存取由每個角色授與的所有項目的組合。這樣一來，有助於確保擁有類似背景的使用者得到相同的權限設定，而具有一系列責任的使用者可以存取其所需的一切。

SaltStack Config 隨附一些無法刪除的內建角色。此外，您可以根據組織的獨特需求建立自訂定義的角色。請參閱預設角色和設定。

若要為角色指定完成工作的權限，則必須定義允許的工作，同時指派對資源或功能區域的存取權。權限是一類廣泛的允許動作，而資源存取權可用於定義可對其完成動作的特定資源 (例如工作或目標)。請參閱〈允許的工作和資源存取權之間的差異〉。

特定資源類型和功能區域的資源存取權必須在 API (RaaS) 中定義，而不是在角色編輯器中定義。請參閱〈資源存取權〉。

建立角色

在某些情況下，複製角色可能會比建立新角色更方便。您可以複製現有角色，然後根據需要修改複製。

在 [角色] 工作區中，選取要複製的角色。
備註：基於安全考量，無法複製內建的超級使用者角色，因為它是一個保留名稱。
按一下複製。
為角色輸入新名稱，然後按一下儲存。
您已完成複製角色所需的最少步驟。如需有關定義角色設定的詳細資訊，請參閱編輯角色。

備註：依預設，複製的角色會從原始角色繼承允許的工作。複製的角色不會繼承資源存取權，該權限必須單獨定義。請參閱指派對工作或目標的存取權。

備註：上述內容說明了如何使用標準編輯器編輯角色。 SaltStack Config 還包括進階編輯器，建議僅限進階使用者使用。如需有關進階編輯器的詳細資訊，請參閱〈進階權限〉。

在 [角色] 工作區中，選取要編輯的角色。
在工作下，選取允許的工作以指派角色。工作表示 SaltStack Config 中的常見使用案例。啟用工作會為角色提供完成工作所需的全部權限。
有關工作說明，請參閱〈工作〉。
按一下儲存。

備註：除了指派權限之外，還必須啟用對特定資源 (例如工作或目標) 的存取權，以便角色能夠對其執行動作。請參閱〈允許的工作和資源存取權之間的差異〉。

在 [角色] 工作區中，選取要編輯的角色。
在資源存取權下，找到所需的工作或目標，然後選取要提供的存取層級。例如，若要允許角色執行工作，可以為工作選取讀取/執行。
如果您要選取的資源未顯示，請分別按一下顯示所有目標或顯示所有工作。

在 SaltStack Config 中，工作和目標被視為不同類型的資源。如需有關資源存取權的詳細資訊，請參閱〈資源存取權〉。
按一下儲存。

備註：除了為工作指派資源存取權之外，還必須指派對要執行工作的目標的存取權限，並指派執行工作的權限。請參閱〈允許的工作和資源存取權之間的差異〉。

在 [角色] 工作區中，選取要編輯的角色。
在群組下，選取要包括在角色中的群組。
將透過目錄服務連線匯入群組。如果您看不到預期群組，請確保已新增連線並已同步群組。
將會封存從目錄服務連線中移除的任何群組。即使這些群組處於非作用中狀態且使用者無法登入，其仍顯示在 [角色] 工作區中。

備註：角色權限是累加的。群組中指派給多個角色的使用者可以存取由每個角色授與的所有項目的組合。
按一下儲存。
現在，所選群組 (包括這些群組中的所有使用者) 將被授與角色設定中定義的所有允許工作和資源存取權。

使用者將從所屬群組繼承權限設定 (例如指派給角色)。最佳做法是避免將個別使用者新增到角色，而是將使用者新增到屬於該角色的群組。依預設，會將所有新使用者包括在「使用者」角色中。請參閱預設角色和設定。

在 [角色] 工作區中，選取要編輯的角色。
在使用者下，選取要包括在角色中的使用者。
透過 [角色] 工作區，可以僅在使用者首次登入後，管理目錄服務群組中包括的個別使用者的設定。如需詳細資訊，請參閱〈使用 LDAP 進行驗證〉。
按一下儲存。

以下文章提供了有關 SaltStack Config 之 RBAC 相關概念的更深入的資訊。