Nutzer-ID-Tracking in Audit-Logs

Die folgenden Audit-Protokolle werden in Rancher verwendet, um Ereignisse zu verfolgen, die in den lokalen und Downstream-Clustern auftreten:

Die Audit-Protokolle in Rancher v2.6 wurden verbessert, um den Namen des externen Identitätsanbieters (allgemeiner Name des Benutzers im externen Authentifizierungsanbieter) sowohl in den Rancher- als auch in den Downstream-Kubernetes-Audit-Protokollen einzuschließen.

Vor v2.6 konnte ein Rancher-Administrator ein Ereignis in den Rancher-Audit-Protokollen nicht zurückverfolgen und in die Kubernetes-Audit-Protokolle gelangen, ohne die Zuordnung des Benutzernamens des externen Identitätsanbieters zum Benutzer-ID (u-xXXX) zu kennen, die in Rancher verwendet wird. Um diese Zuordnung zu kennen, benötigten die Cluster-Administratoren Zugriff auf die Rancher-API, die Benutzeroberfläche und den lokalen Verwaltungscluster.

Jetzt sollte ein Downstream-Cluster-Administrator in der Lage sein, die Kubernetes-Audit-Protokolle einzusehen und zu wissen, welcher spezifische Benutzer des externen Identitätsanbieters (IDP) eine Aktion durchgeführt hat, ohne etwas in Rancher einsehen zu müssen. Wenn die Audit-Protokolle vom Cluster übertragen werden, sollte ein Benutzer des Protokollierungssystems in der Lage sein, den Benutzer im System des externen Identitätsanbieters zu identifizieren. Ein Rancher-Administrator sollte jetzt in der Lage sein, die Rancher-Audit-Protokolle einzusehen und über den Benutzernamen des externen Identitätsanbieters zu den Kubernetes-Audit-Protokollen zu gelangen.