Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Benutzerdefinierte Rollen

Innerhalb von Rancher bestimmen Rollen, welche Aktionen ein Benutzer innerhalb eines Clusters oder Projekts durchführen kann.

Beachten Sie, dass Rollen sich von Berechtigungen unterscheiden, die bestimmen, auf welche Cluster und Projekte Sie zugreifen können.

Es ist möglich, dass eine benutzerdefinierte Rolle eine Privilegieneskalation ermöglicht. Für Details siehe diesen Abschnitt.

Voraussetzungen

Um die Aufgaben auf dieser Seite abzuschließen, ist eine der folgenden Berechtigungen erforderlich:

Benutzerdefinierte Rolle erstellen

Während Rancher mit einer Reihe von Standardbenutzerrollen ausgeliefert wird, können Sie auch benutzerdefinierte Standardrollen erstellen, um Benutzern sehr spezifische Berechtigungen innerhalb von Rancher zu gewähren.

Die Schritte zum Hinzufügen benutzerdefinierter Rollen unterscheiden sich je nach Version von Rancher.

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Rollenvorlagen.

  3. Wählen Sie eine Registerkarte aus, um den Umfang der Rolle zu bestimmen, die Sie hinzufügen. Die Registerkarten sind:

    • Global: Die Rolle ist gültig, um Mitgliedern die Verwaltung von globalen Ressourcen zu ermöglichen.

    • Cluster: Die Rolle ist gültig für die Zuweisung beim Hinzufügen/Verwalten von Mitgliedern zu Clustern.

    • Projekt/Namespaces: Die Rolle ist gültig für die Zuweisung beim Hinzufügen/Verwalten von Mitgliedern zu Projekten oder Namespaces.

  4. Klicken Sie auf Globale Rolle erstellen, Clusterrolle erstellen oder Projekt/Namespace Rolle erstellen, je nach Umfang.

  5. Geben Sie einen Namen für die Rolle ein.

  6. Optional: Wählen Sie die Option Cluster/Projekt-Ersteller Standard, um diese Rolle einem Benutzer zuzuweisen, wenn er ein neues Cluster oder Projekt erstellt. Mit dieser Funktion können Sie die Standardrollen für Cluster-/Projekt-Ersteller aufklappen oder einschränken.

    Standardmäßig sind die Rollen "Cluster Creator Default" und "Project Creator Default" Cluster Owner bzw. Project Owner.

  7. Verwenden Sie die Ressourcen gewähren-Optionen, um einzelnen Kubernetes-API-Endpunkten die Rolle zuzuweisen.

    Beim Anzeigen der Ressourcen, die den von Rancher erstellten Standardrollen zugeordnet sind, wird, falls in einem Zeilenartikel mehrere Kubernetes-API-Ressourcen vorkommen, an die jeweilige Ressource (Custom) angehängt. Dies sind keine benutzerdefinierten Ressourcen, sondern lediglich ein Hinweis darauf, dass es mehrere Kubernetes-API-Ressourcen als eine Ressource gibt.

    Das Textfeld "Ressource" bietet eine Methode, um nach vordefinierten Kubernetes-API-Ressourcen zu suchen oder einen benutzerdefinierten Ressourcennamen für die Gewährung einzugeben. Die vordefinierte oder (Custom) Ressource muss aus dem Dropdown-Menü ausgewählt werden, nachdem ein Ressourcenname in dieses Feld eingegeben wurde.

    Sie können auch die einzelnen cURL-Methoden (Create, Delete, Get usw.) auswählen, die für jeden zugewiesenen Endpunkt verwendet werden können.

  8. Verwenden Sie die Von übernehmen-Optionen, um den benutzerdefinierten Rollen einzelne Rancher-Rollen zuzuweisen. Hinweis: Wenn eine benutzerdefinierte Rolle von einer übergeordneten Rolle erbt, kann die übergeordnete Rolle nicht gelöscht werden, bis die untergeordnete Rolle gelöscht ist.

  9. Klicken Sie auf Erstellen.

Erstellen einer benutzerdefinierten Rolle, die von einer anderen Rolle erbt.

Wenn Sie eine Gruppe von Personen haben, die das gleiche Zugriffslevel in Rancher benötigen, kann es Zeit sparen, eine benutzerdefinierte Rolle zu erstellen, in der alle Regeln einer anderen Rolle, wie der Administratorrolle, in eine neue Rolle kopiert werden. Dies ermöglicht es Ihnen, nur die Variationen zwischen der bestehenden Rolle und der neuen Rolle zu konfigurieren.

Die benutzerdefinierte Rolle kann dann einem Benutzer oder einer Gruppe zugewiesen werden, sodass sie beim ersten Anmelden in Rancher wirksam wird.

Um eine benutzerdefinierte Rolle basierend auf einer bestehenden Rolle zu erstellen,

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Rollen-Vorlagen.

  3. Klicken Sie auf die Registerkarte Cluster oder Projekt/Namensräume. Klicken Sie auf Clusterrolle erstellen oder Projekt/Namespace-Rolle erstellen, je nach Umfang. Hinweis: Nur Clusterrollen und Projekt/Namespace-Rollen können von einer anderen Rolle erben.

  4. Geben Sie einen Namen für die Rolle ein.

  5. Wählen Sie im Tab Von erben die Rolle(n) aus, von denen die benutzerdefinierte Rolle Berechtigungen erben soll.

  6. Wählen Sie im Tab Ressourcen gewähren die Kubernetes-Ressourcenoperationen aus, die für Benutzer mit der benutzerdefinierten Rolle aktiviert werden.

    Das Textfeld "Ressource" bietet eine Methode, um nach vordefinierten Kubernetes-API-Ressourcen zu suchen oder einen benutzerdefinierten Ressourcennamen für die Gewährung einzugeben. Die vordefinierte oder (Custom) Ressource muss aus dem Dropdown-Menü ausgewählt werden, nachdem ein Ressourcenname in dieses Feld eingegeben wurde.

  7. Optional: Weisen Sie die Rolle als Standard zu.

  8. Klicken Sie auf Erstellen.

Löschen einer benutzerdefinierten Rolle

Beim Löschen einer benutzerdefinierten Rolle werden alle globalen Rollenzuweisungen mit dieser benutzerdefinierten Rolle gelöscht.

Wenn einem Benutzer nur eine benutzerdefinierte Rolle zugewiesen ist und die Rolle gelöscht wird, verliert der Benutzer den Zugriff auf Rancher. Damit der Benutzer wieder Zugriff erhält, muss ein Administrator den Benutzer bearbeiten und neue globale Berechtigungen anwenden.

Benutzerdefinierte Rollen können gelöscht werden, integrierte Rollen können jedoch nicht gelöscht werden.

Um eine benutzerdefinierte Rolle zu löschen,

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Rollenvorlagen.

  3. Gehen Sie zu der benutzerdefinierten globalen Rolle, die gelöscht werden soll, und klicken Sie auf ⋮ (…​) > Löschen.

  4. Klicken Sie auf Löschen.

Zuweisen einer benutzerdefinierten Rolle zu einer Gruppe

Wenn Sie eine Gruppe von Personen haben, die das gleiche Zugriffslevel in Rancher benötigen, kann es Zeit sparen, eine benutzerdefinierte Rolle zu erstellen. Wenn die Rolle einer Gruppe zugewiesen ist, haben die Benutzer in der Gruppe beim ersten Anmelden bei Rancher das entsprechende Zugriffslevel.

Wenn sich ein Benutzer in der Gruppe anmeldet, erhält er standardmäßig die integrierte Rolle "Standardbenutzer". Sie erhalten auch die Berechtigungen, die ihren Gruppen zugewiesen sind.

Wenn ein Benutzer aus der Gruppe des externen Authentifizierungsanbieters entfernt wird, verliert er die Berechtigungen der benutzerdefinierten Rolle, die der Gruppe zugewiesen war. Sie behalten weiterhin ihre individuelle Rolle als Standardbenutzer.

Voraussetzungen:

Sie können einer Gruppe nur eine globale Rolle zuweisen, wenn:

Um einer Gruppe eine benutzerdefinierte Rolle zuzuweisen, befolgen Sie diese Schritte:

  1. Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.

  2. Klicken Sie in der linken Navigationsleiste auf Gruppen.

  3. Gehen Sie zu der bestehenden Gruppe, der die benutzerdefinierte Rolle zugewiesen wird, und klicken Sie auf ⋮ > Konfiguration bearbeiten.

  4. Wenn Sie Rollen erstellt haben, werden diese im Abschnitt Benutzerdefiniert angezeigt. Wählen Sie eine beliebige benutzerdefinierte Rolle aus, die der Gruppe zugewiesen werden soll.

  5. Optional: Wählen Sie in den Abschnitten Globale Berechtigungen oder Integriert alle zusätzlichen Berechtigungen aus, die die Gruppe haben soll.

  6. Klicken Sie auf Speichern..

Ergebnis: Die benutzerdefinierte Rolle tritt in Kraft, wenn sich die Benutzer in der Gruppe bei Rancher anmelden.

Privilegieneskalation

Die Configure Catalogs benutzerdefinierte Berechtigung ist mächtig und sollte mit Vorsicht verwendet werden. Wenn ein Administrator die Configure Catalogs Berechtigung einem Standardbenutzer zuweist, könnte dies zu einer Privilegieneskalation führen, bei der der Benutzer sich selbst Administratorzugriff auf von Rancher bereitgestellte Cluster gewähren könnte. Jeder mit dieser Berechtigung sollte als gleichwertig zu einem Administrator betrachtet werden.