Dieses Dokument wurde mithilfe automatisierter maschineller Übersetzungstechnologie übersetzt. Wir bemühen uns um korrekte Übersetzungen, übernehmen jedoch keine Gewähr für die Vollständigkeit, Richtigkeit oder Zuverlässigkeit der übersetzten Inhalte. Im Falle von Abweichungen ist die englische Originalversion maßgebend und stellt den verbindlichen Text dar.

Rollenbasierte Zugriffskontrolle

Dieser Abschnitt beschreibt die Berechtigungen, die erforderlich sind, um die rancher-compliance App zu verwenden.

Die rancher-compliance ist standardmäßig nur eine Cluster-Admin-Funktion.

Der rancher-compliance Chart installiert jedoch diese beiden Standard-ClusterRoles:

compliance-admin
compliance-view

In Rancher haben standardmäßig nur Clusterbesitzer und globale Administratoren compliance-admin Zugriff.

Cluster-Admin-Zugriff

Rancher Compliance Scans ist standardmäßig nur eine Cluster-Admin-Funktion. Das bedeutet, dass nur die globalen Rancher-Administratoren und der Clusterbesitzer folgende Aktionen durchführen können:

Die rancher-compliance App installieren/deinstallieren
Die Navigationslinks für Compliance-CRDs - ClusterScanBenchmarks, ClusterScanProfiles, ClusterScans anzeigen
Die Standard-ClusterScanBenchmarks und ClusterScanProfiles auflisten
Neue ClusterScanProfiles erstellen/bearbeiten/löschen
Einen neuen ClusterScan erstellen/bearbeiten/löschen, um den Compliance-Scan im Cluster auszuführen
Den ClusterScanReport anzeigen und herunterladen, der nach Abschluss des ClusterScans erstellt wurde

Zusammenfassung der Standardberechtigungen für die Standardrollen von Kubernetes

Die rancher-compliance erstellt drei ClusterRoles und fügt den Zugriff auf den Compliance-Benchmark-CRD zu den folgenden Standard-K8s-ClusterRoles hinzu:

ClusterRole, die durch den Chart erstellt wurde Standard-K8s-ClusterRole Berechtigungen, die mit der Rolle vergeben werden

ClusterRole, die durch den Chart erstellt wurde	Standard-K8s-ClusterRole	Berechtigungen, die mit der Rolle vergeben werden
`compliance-admin`	`admin`	Fähigkeit, clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR zu erstellen, lesen, aktualisieren und löschen.
`compliance-view`	`anzeigen `	Fähigkeit, ® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR aufzulisten

compliance-admin

admin

Fähigkeit, clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR zu erstellen, lesen, aktualisieren und löschen.

compliance-view

`anzeigen `

Fähigkeit, ® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR aufzulisten

Standardmäßig hat nur die Rolle des Clusterbesitzers die Fähigkeit, die rancher-compliance Funktion zu verwalten und zu nutzen.

Die anderen Rancher-Rollen (Cluster-Mitglied, Projektbesitzer, Projektmitglied) haben keine Standardberechtigungen zur Verwaltung und Nutzung von rancher-compliance-Ressourcen.

Wenn ein Clusterbesitzer jedoch den Zugriff auf andere Benutzer delegieren möchte, kann er dies tun, indem er ClusterRoleBindings zwischen diesen Benutzern und den oben genannten Compliance ClusterRoles manuell erstellt. Es wird keine automatische Rollenaggregation für die rancher-compliance ClusterRoles unterstützt.