Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Globale Berechtigungen

Users with permissions to modify accounts or resources are considered privileged users, only grant these permissions to trusted users.

Berechtigungen sind individuelle Zugriffsrechte, die Sie beim Auswählen einer benutzerdefinierten Berechtigung für einen Benutzer zuweisen können.

Globale Berechtigungen definieren die Benutzerautorisierung außerhalb des Rahmens eines bestimmten Clusters. Standardmäßig gibt es vier vordefinierte globale Berechtigungen: Administrator, Standard User, User-base und .

Verwalter: Diese Benutzer haben die volle Kontrolle über das gesamte Rancher-System und alle darin enthaltenen Cluster.
Standardbenutzer: Diese Benutzer können neue Cluster erstellen und verwenden. Standardbenutzer können auch anderen Benutzern Berechtigungen für ihre Cluster zuweisen.
User-Base: Benutzerbasis-Benutzer haben nur Login-Zugang.

Sie können die integrierten globalen Berechtigungen nicht aktualisieren oder löschen.

Zuweisung globaler Berechtigungen

Globale Berechtigungen für lokale Benutzer werden anders zugewiesen als für Benutzer, die sich über externe Authentifizierung bei Rancher anmelden.

Globale Berechtigungen für neue lokale Benutzer

Wenn Sie einen neuen lokalen Benutzer erstellen, weisen Sie ihm eine globale Berechtigung zu, während Sie das Benutzer hinzufügen-Formular ausfüllen.

Um die Standardberechtigungen für neue Benutzer zu sehen,

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Rollen-Vorlagen.
Die Rollenvorlagen-Seite hat Registerkarten für Rollen, die nach Geltungsbereich gruppiert sind. Jede Tabelle listet die Rollen in diesem Geltungsbereich auf. Im Global-Tab, in der Standard für neue Benutzer-Spalte, sind die Berechtigungen, die neuen Benutzern standardmäßig zugewiesen werden, mit einem Häkchen gekennzeichnet.

Sie können die standardmäßigen globalen Berechtigungen an Ihre Bedürfnisse anpassen.

Globale Berechtigungen für Benutzer mit externer Authentifizierung

Wenn sich ein Benutzer zum ersten Mal mit einem externen Authentifizierungsanbieter bei Rancher anmeldet, werden ihm automatisch die Standard für neue Benutzer globalen Berechtigungen zugewiesen. Standardmäßig weist Rancher neuen Benutzern die Standardbenutzer Berechtigung zu.

Um die Standardberechtigungen für neue Benutzer zu sehen,

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Rollen-Vorlagen.
Die Rollenvorlagen-Seite hat Registerkarten für Rollen, die nach Geltungsbereich gruppiert sind. Jede Tabelle listet die Rollen in diesem Geltungsbereich auf. In der Standard für neue Benutzer Spalte auf jeder Seite sind die Berechtigungen, die neuen Benutzern standardmäßig zugewiesen werden, mit einem Häkchen gekennzeichnet.

Sie können die Standardberechtigungen an Ihre Bedürfnisse anpassen.

Berechtigungen können einem einzelnen Benutzer zugewiesen werden.

Sie können eine Rolle allen Mitgliedern der Gruppe gleichzeitig zuweisen, wenn der externe Authentifizierungsanbieter Gruppen unterstützt.

Benutzerdefinierte globale Berechtigungen

Die Verwendung benutzerdefinierter Berechtigungen ist praktisch, um Benutzern einen eingeschränkten oder spezialisierten Zugriff auf Rancher zu gewähren.

Wenn sich ein Benutzer von einer externen Authentifizierungsquelle zum ersten Mal bei Rancher anmeldet, wird ihm automatisch ein Satz globaler Berechtigungen (im Folgenden Berechtigungen) zugewiesen. Standardmäßig wird ein Benutzer nach der ersten Anmeldung als Benutzer erstellt und erhält die standardmäßige user Berechtigung. Die standardmäßige user Berechtigung erlaubt es Benutzern, sich anzumelden und Cluster zu erstellen.

In einigen Organisationen können diese Berechtigungen jedoch zu viel Zugriff gewähren. Anstatt Benutzern die standardmäßigen globalen Berechtigungen von Administrator oder Standard User zuzuweisen, können Sie ihnen einen restriktiveren Satz benutzerdefinierter globaler Berechtigungen zuweisen.

Die standardmäßigen Rollen, Administrator und Standardbenutzer, verfügen jeweils über mehrere integrierte globale Berechtigungen. Die Administratorrolle umfasst alle globalen Berechtigungen, während die Standardbenutzerrolle drei globale Berechtigungen umfasst: Cluster erstellen, Katalogvorlagen verwenden und Benutzerbasis, was dem minimalen Berechtigungsniveau entspricht, um sich bei Rancher anzumelden. Mit anderen Worten, die benutzerdefinierten globalen Berechtigungen sind modularisiert, sodass Sie, wenn Sie die Standardberechtigungen für Benutzerrollen ändern möchten, auswählen können, welcher Teil der globalen Berechtigungen in die neue Standardbenutzerrolle aufgenommen wird.

Administratoren können benutzerdefinierte globale Berechtigungen auf verschiedene Weise durchsetzen:

Erstellen benutzerdefinierter globaler Rollen.
Ändern der Standardberechtigungen für neue Benutzer.
Konfigurieren globaler Berechtigungen für einzelne Benutzer.
Konfigurieren globaler Berechtigungen für Gruppen.

Kombinieren von integrierten Globalrollen

Rancher bietet mehrere Globalrollen, die granulare Berechtigungen für bestimmte häufige Anwendungsfälle gewähren. Die folgende Tabelle listet jede integrierte globale Berechtigung auf und zeigt, ob sie in den standardmäßigen globalen Berechtigungen Administrator, Standard User und User-Base enthalten ist.

Benutzerdefinierte globale Berechtigung	Administrator	Standardbenutzer
Cluster erstellen	✓	✓
RKE-Vorlagen erstellen	✓	✓
Authentifizierung verwalten	✓
Kataloge verwalten	✓
Cluster-Treiber verwalten	✓
Knoten-Treiber verwalten	✓
PodSecurityPolicy-Vorlagen verwalten	✓
Rollen verwalten	✓
Einstellungen verwalten	✓
Benutzer verwalten	✓
Katalogvorlagen verwenden	✓	✓
Benutzerbasis (Basis-Login-Zugriff)	✓	✓

Benutzerdefinierte globale Berechtigung

Administrator

Standardbenutzer

Benutzerbasis

Cluster erstellen

✓

RKE-Vorlagen erstellen

✓

Authentifizierung verwalten

✓

Kataloge verwalten

✓

Cluster-Treiber verwalten

✓

Knoten-Treiber verwalten

✓

PodSecurityPolicy-Vorlagen verwalten

✓

Rollen verwalten

✓

Einstellungen verwalten

✓

Benutzer verwalten

✓

Katalogvorlagen verwenden

✓

Benutzerbasis (Basis-Login-Zugriff)

✓

Für Details dazu, welche Kubernetes-Ressourcen mit jeder globalen Berechtigung übereinstimmen,

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Rollenvorlagen.
Wenn Sie auf den Namen einer einzelnen Rolle klicken, wird eine Tabelle angezeigt, die alle Operationen und Ressourcen zeigt, die von der Rolle erlaubt sind.

Hinweise:

Jede oben aufgeführte Berechtigung besteht aus mehreren einzelnen Berechtigungen, die nicht in der Rancher-Benutzeroberfläche aufgeführt sind. Für eine vollständige Liste dieser Berechtigungen und der Regeln, aus denen sie bestehen, greifen Sie über die API auf /v3/globalRoles zu.
Beim Anzeigen der Ressourcen, die den von Rancher erstellten Standardrollen zugeordnet sind, wird, falls in einem Zeilenartikel mehrere Kubernetes-API-Ressourcen vorkommen, an die jeweilige Ressource (Custom) angehängt. Dies sind keine benutzerdefinierten Ressourcen, sondern lediglich ein Hinweis darauf, dass es mehrere Kubernetes-API-Ressourcen als eine Ressource gibt.

Die integrierte GlobalRole Manage Users ermöglicht es Benutzern, andere Benutzer innerhalb der Rancher-Umgebung zu erstellen, zu ändern und zu löschen. Obwohl diese Berechtigung für administrative Arbeitsabläufe in vertrauenswürdigen Umgebungen erforderlich sein kann, stellt die Gewährung an nicht vertrauenswürdige oder weniger privilegierte Benutzer, wie z. B. Standardbenutzer, ein ernsthaftes Sicherheitsrisiko dar und kann zu einer Privilegieneskalation führen.

Benutzerdefinierte GlobalRoles

Sie können benutzerdefinierte GlobalRoles erstellen, um Anwendungsfälle zu erfüllen, die nicht direkt von integrierten GlobalRoles angesprochen werden.

Erstellen Sie benutzerdefinierte GlobalRoles über die Benutzeroberfläche oder durch Automatisierung (wie die Rancher Kubernetes API). Sie können die gleichen Arten von Regeln wie die Regeln für Upstream-Rollen und ClusterRoles angeben.

Siehe die Liste Globale Ressourcen für relevante Ressourcen.

Escalate- und Bind-Verben

Bei der Vergabe von Berechtigungen für GlobalRoles beachten Sie, dass Rancher die escalate und bind Verben respektiert, ähnlich wie Kubernetes.

Beide dieser Verben, die auf die GlobalRoles-Ressource vergeben werden, können Benutzern die Berechtigung erteilen, die Privilegieneskalationsprüfungen von Rancher zu umgehen. Dies ermöglicht es Benutzern möglicherweise, Administratoren zu werden. Da dies ein ernsthaftes Sicherheitsrisiko darstellt, sollten bind und escalate mit großer Vorsicht an Benutzer verteilt werden.

Das escalate Verb ermöglicht es dem Benutzer, eine GlobalRole zu ändern und jede Berechtigung hinzuzufügen, selbst wenn der Benutzer in der aktuellen GlobalRole oder in deren neuer Version nicht über die entsprechenden Berechtigungen verfügt.

Das bind Verb ermöglicht es dem Benutzer, ein GlobalRoleBinding zur angegebenen GlobalRole zu erstellen, auch wenn er nicht über die entsprechenden Berechtigungen in der GlobalRole verfügt.

Das Wildcard-Verb umfasst auch die Verben bind und escalate. Das bedeutet, dass das Gewähren von auf GlobalRoles an einen Benutzer auch sowohl escalate als auch bind gewährt.

Beispiele für benutzerdefinierte GlobalRoles

Um die Berechtigung zu gewähren, nur die test-gr GlobalRole zu eskalieren:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'escalate'

Um die Berechtigung zu gewähren, alle GlobalRoles eskalieren zu dürfen:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - 'escalate'

Um die Berechtigung zu gewähren, Bindungen zu erstellen (die Eskalationsprüfungen umgehen) ausschließlich für die test-gr GlobalRole:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'bind'
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalrolebindings'
  verbs:
  - 'create'

Das Gewähren von * Berechtigungen (die sowohl escalate als auch bind umfassen):

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - '*'

GlobalRole-Berechtigungen auf Downstream-Clustern

GlobalRoles können auf jedem Downstream-Cluster ein oder mehrere RoleTemplates über das Feld inheritedClusterRoles gewähren. Werte in diesem Feld müssen auf ein RoleTemplate verweisen, das existiert und eine context von Cluster hat.

Mit diesem Feld erhalten Benutzer die angegebenen Berechtigungen auf allen aktuellen oder zukünftigen Downstream-Clustern. Beispiel: Betrachten Sie die folgende GlobalRole:

apiVersion: management.cattle.io/v3
kind: GlobalRole
displayName: All Downstream Owner
metadata:
  name: all-downstream-owner
inheritedClusterRoles:
- cluster-owner

Jeder Benutzer mit dieser Berechtigung wird ein Clusterbesitzer auf allen Downstream-Clustern sein. Wenn ein neuer Cluster hinzugefügt wird, unabhängig vom Typ, wird der Benutzer auch Clusterbesitzer dieses Clusters sein.

Die Verwendung dieses Feldes auf default GlobalRoles kann dazu führen, dass Benutzer übermäßige Berechtigungen erhalten.

Konfiguration der Standardglobalberechtigungen

Wenn Sie die Standardberechtigungen für neue Benutzer einschränken möchten, können Sie die user Berechtigung als Standardrolle entfernen und dann mehrere individuelle Berechtigungen stattdessen als Standard zuweisen. Umgekehrt können Sie auch administrative Berechtigungen zusätzlich zu einer Reihe anderer Standardberechtigungen hinzufügen.

Standardrollen werden nur Benutzern zugewiesen, die von einem externen Authentifizierungsanbieter hinzugefügt wurden. Für lokale Benutzer müssen Sie globale Berechtigungen ausdrücklich zuweisen, wenn Sie einen Benutzer zu Rancher hinzufügen. Sie können diese globalen Berechtigungen beim Hinzufügen des Benutzers anpassen.

Um die standardmäßigen globalen Berechtigungen zu ändern, die externen Benutzern bei ihrem ersten Login zugewiesen werden, befolgen Sie diese Schritte:

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Rollenvorlagen. Auf der Rollenvorlagen Seite stellen Sie sicher, dass der Global Tab ausgewählt ist.
Finden Sie das Berechtigungsset, das Sie als Standard hinzufügen oder entfernen möchten. Bearbeiten Sie dann die Berechtigung, indem Sie ⋮ > Konfiguration bearbeiten auswählen.
Wenn Sie die Berechtigung als Standard hinzufügen möchten, wählen Sie Ja: Standardrolle für neue Benutzer und klicken Sie dann auf Speichern. Wenn Sie eine Standardberechtigung entfernen möchten, bearbeiten Sie die Berechtigung und wählen Sie Nein.

Ergebnis: Die standardmäßigen globalen Berechtigungen werden basierend auf Ihren Änderungen konfiguriert. Berechtigungen, die neuen Benutzern zugewiesen sind, zeigen ein Häkchen in der Standard für neue Benutzer Spalte an.

Konfiguration globaler Berechtigungen für einzelne Benutzer

Um die Berechtigung für einen Benutzer zu konfigurieren,

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Benutzer.
Gehen Sie zu dem Benutzer, dessen Zugriffslevel Sie ändern möchten, und klicken Sie auf ⋮ > Konfiguration bearbeiten.
Aktivieren Sie in den Abschnitten Globale Berechtigungen und integriert die Kontrollkästchen für jede Berechtigung, die der Benutzer haben soll. Wenn Sie Rollen von der Rollenvorlagen Seite erstellt haben, erscheinen diese im Abschnitt Benutzerdefiniert und Sie können ebenfalls aus ihnen auswählen.
Klicken Sie auf Speichern.

Ergebnis: Die globalen Berechtigungen des Benutzers wurden aktualisiert.

Konfiguration der globalen Berechtigungen für Gruppen

Wenn Sie eine Gruppe von Personen haben, die das gleiche Zugriffslevel in Rancher benötigen, kann es Zeit sparen, die Berechtigungen auf die gesamte Gruppe auf einmal zuzuweisen, damit die Benutzer in der Gruppe beim ersten Anmelden in Rancher das angemessene Zugriffslevel haben.

Nachdem Sie einer Gruppe eine benutzerdefinierte globale Rolle zugewiesen haben, wird die benutzerdefinierte globale Rolle einem Benutzer in der Gruppe zugewiesen, wenn dieser sich in Rancher anmeldet.

Für bestehende Benutzer treten die neuen Berechtigungen in Kraft, wenn die Benutzer sich von Rancher abmelden und wieder anmelden, oder wenn ein Administrator die Gruppenmitgliedschaften aktualisiert.

Für neue Benutzer treten die neuen Berechtigungen in Kraft, wenn sich die Benutzer zum ersten Mal in Rancher anmelden. Neue Benutzer aus dieser Gruppe erhalten die Berechtigungen der benutzerdefinierten globalen Rolle zusätzlich zu den Standardberechtigungen für neue Benutzer. Standardmäßig entsprechen die Standardberechtigungen für neue Benutzer der Standardbenutzer globalen Rolle, aber die Standardberechtigungen können konfiguriert werden.

Wenn ein Benutzer aus der Gruppe des externen Authentifizierungsanbieters entfernt wird, verliert er die Berechtigungen der benutzerdefinierten globalen Rolle, die der Gruppe zugewiesen war. Sie würden weiterhin alle verbleibenden Rollen haben, die ihnen zugewiesen wurden, was typischerweise die Rollen umfasst, die als Standardberechtigungen für neue Benutzer gekennzeichnet sind. Rancher entfernt die Berechtigungen, die mit der Gruppe verbunden sind, wenn der Benutzer sich abmeldet, oder wenn ein Administrator die Gruppenmitgliedschaften aktualisiert, je nachdem, was zuerst eintritt.

Voraussetzungen:

Sie können einer Gruppe nur eine globale Rolle zuweisen, wenn:

Sie einen externen Authentifizierungsanbieter eingerichtet haben
Der externe Authentifizierungsanbieter unterstützt Benutzergruppen
Sie haben bereits mindestens eine Benutzergruppe mit dem Authentifizierungsanbieter eingerichtet

Um einer Gruppe eine benutzerdefinierte globale Rolle zuzuweisen, befolgen Sie diese Schritte:

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Gruppen.
Gehen Sie zu der Gruppe, der Sie eine benutzerdefinierte globale Rolle zuweisen möchten, und klicken Sie auf ⋮ > Konfiguration bearbeiten.
Wählen Sie in den Abschnitten Globale Berechtigungen, Benutzerdefiniert, und/oder integriert die Berechtigungen aus, die die Gruppe haben soll.
Klicken Sie auf Erstellen.

Ergebnis: Die benutzerdefinierte globale Rolle tritt in Kraft, wenn sich die Benutzer in der Gruppe bei Rancher anmelden.

Gruppenmitgliedschaften aktualisieren

Wenn ein Administrator die globalen Berechtigungen für eine Gruppe aktualisiert, treten die Änderungen für die einzelnen Gruppenmitglieder in Kraft, nachdem sie sich von Rancher abgemeldet und erneut angemeldet haben.

Um die Änderungen sofort wirksam werden zu lassen, kann ein Administrator oder Clusterbesitzer die Gruppenmitgliedschaften aktualisieren.

Ein Administrator möchte möglicherweise auch die Gruppenmitgliedschaften aktualisieren, wenn ein Benutzer aus einer Gruppe im externen Authentifizierungsdienst entfernt wird. In diesem Fall macht die Aktualisierung Rancher bewusst, dass der Benutzer aus der Gruppe entfernt wurde.

Um die Gruppenmitgliedschaften zu aktualisieren,

Klicken Sie in der oberen linken Ecke auf ☰ > Benutzer & Authentifizierung.
Klicken Sie in der linken Navigationsleiste auf Benutzer.
Klicken Sie auf Gruppenmitgliedschaften aktualisieren.

Ergebnis: Alle Änderungen an den Berechtigungen der Gruppenmitglieder treten in Kraft.