Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Roles de clúster y proyecto

Los roles de clúster y proyecto definen la autorización de usuarios dentro de un clúster o proyecto.

Para gestionar estos roles,

  1. Haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de rol y ve a la pestaña Clúster o Proyecto/Espacios de nombres.

Membresía y Asignación de Roles

Los proyectos y clústeres accesibles para usuarios no administrativos se determinan por membresía. La membresía es una lista de usuarios que tienen acceso a un clúster o proyecto específico según los roles que se les asignaron en ese clúster o proyecto. Cada clúster y proyecto incluye una pestaña que un usuario con los permisos apropiados puede usar para gestionar la membresía.

Cuando creas un clúster o proyecto, Rancher te asigna automáticamente como el Owner para ello. Los usuarios asignados al rol Owner pueden asignar roles a otros usuarios en el clúster o proyecto.

Los usuarios no administrativos no pueden acceder a ningún proyecto/clúster existente por defecto. Un usuario con permisos apropiados (típicamente el propietario) debe asignar explícitamente la membresía del proyecto y del clúster.

Roles de clúster

Los roles de clúster son roles que puedes asignar a los usuarios, otorgándoles acceso a un clúster. Existen dos roles de clúster principales: Owner y Member.

  • Propietario del clúster:

    Estos usuarios tienen control total sobre el clúster y todos los recursos en él.

  • Miembro del clúster:

    Estos usuarios pueden ver la mayoría de los recursos a nivel de clúster y crear nuevos proyectos.

    Cuando un Miembro del Clúster crea un proyecto, se le asignan automáticamente los privilegios de Propietario del Proyecto. Esto les otorga control completo sobre el proyecto y sus recursos asociados, incluyendo permisos para desplegar cargas de trabajo. Sin Normas de Seguridad de Pods (PSS) y Admisión de Seguridad de Pods (PSA) aplicadas, un Miembro del Clúster puede ejecutar contenedores privilegiados en el clúster.

Roles de Clúster Personalizados

Rancher te permite asignar roles de clúster personalizados a un usuario estándar en lugar de los típicos Owner o Member. Estos roles pueden ser un rol de clúster personalizado integrado o uno definido por un administrador de Rancher. Son convenientes para definir accesos restringidos o especializados para un usuario estándar dentro de un clúster. Consulta la tabla a continuación para ver una lista de roles de clúster personalizados integrados.

Referencia de Roles de Clúster

La siguiente tabla enumera cada rol de clúster personalizado integrado disponible y si ese nivel de acceso está incluido en los permisos predeterminados a nivel de clúster, Cluster Owner y Cluster Member.

Rol de Clúster Integrado Propietario Miembro

Crear Proyectos

Gestionar copias de seguridad del clúster

Gestionar catálogos del clúster

Gestionar miembros del clúster

Gestionar nodos (ver tabla a continuación)

Gestionar almacenamiento

Ver todos los proyectos

Ver catálogos del clúster

Ver miembros del clúster

Ver nodos

Gestionar permisos de nodos

La siguiente tabla enumera los permisos disponibles para el rol Manage Nodes en RKE y RKE2.

Gestionar permisos de nodos RKE RKE2

Acceso SSH

Eliminar nodos

Escalar clústeres hacia arriba y hacia abajo

*

En RKE2, debes tener permiso para editar un clúster para poder escalar clústeres hacia arriba y hacia abajo.

Para obtener detalles sobre cómo cada rol de clúster puede acceder a los recursos de Kubernetes, puedes consultarlos en la interfaz de usuario de Rancher:

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de rol.

  3. Haz clic en la pestaña clúster.

  4. Haz clic en el nombre de un rol individual. La tabla muestra todas las operaciones y recursos que están permitidos por el rol.

Al visualizar los recursos asociados con los roles predeterminados creados por Rancher, si hay múltiples recursos de la API de Kubernetes en un solo elemento de línea, el recurso tendrá (Custom) añadido a él. Estos no son recursos personalizados, sino solo una indicación de que hay múltiples recursos de la API de Kubernetes como un recurso.

Otorgar un rol de clúster personalizado a un miembro del clúster

Después de que un administrador configura un rol de clúster personalizado, los propietarios y administradores del clúster pueden asignar esos roles a los miembros del clúster.

Para asignar un rol personalizado a un nuevo miembro del clúster, puedes usar la interfaz de usuario de Rancher. Para modificar los permisos de un miembro existente, necesitarás usar la vista de la API de Rancher.

Para asignar el rol a un nuevo miembro del clúster,

  1. Haz clic en ☰ > Gestión de Clústeres.

  2. Ve al clúster donde deseas asignar un rol a un miembro y haz clic en Explorar.

  3. Haz clic en menu:Clúster[Miembros del Clúster].

  4. Haz clic en Añadir.

  5. En la sección Permisos del clúster, elige el rol de clúster personalizado que debe ser asignado al miembro.

  6. Haga clic en Crear.

Resultado: El miembro tiene el rol asignado.

Para asignar cualquier rol personalizado a un miembro existente del clúster,

  1. Haz clic en ☰ > Usuarios y Autenticación.

  2. Ve al miembro al que deseas otorgar el rol. Haz clic en ⋮ > Editar Configuración.

  3. Si has añadido roles personalizados, se mostrarán en la sección Personalizado. Elige el rol que deseas asignar al miembro.

  4. Haz clic en Guardar.

Resultado: El miembro tiene el rol asignado.

Roles de proyecto

Los roles de proyecto son roles que se pueden usar para otorgar a los usuarios acceso a un proyecto. Hay tres roles principales en el proyecto: Owner, Member y Read Only.

  • Propietario del Proyecto:

    Estos usuarios tienen control total sobre el proyecto y todos los recursos en él.

  • Miembro del Proyecto:

    Estos usuarios pueden gestionar recursos específicos del proyecto como espacios de nombres y cargas de trabajo, pero no pueden gestionar a otros miembros del proyecto.

Por defecto, el rol de Rancher de project-member hereda del rol Kubernetes-edit, y el rol project-owner hereda del rol Kubernetes-admin. Como tal, tanto los roles project-member como project-owner permitirán la gestión de espacios de nombres, incluyendo la capacidad de crear y eliminar espacios de nombres.

  • Solo lectura:

    Estos usuarios pueden ver todo en el proyecto, pero no pueden crear, actualizar ni eliminar nada.

Los usuarios asignados al rol Owner o Member para un proyecto heredan automáticamente el rol namespace creation. Sin embargo, este rol es un ClusterRole de Kubernetes, lo que significa que su alcance se extiende a todos los proyectos en el clúster. Por lo tanto, los usuarios asignados explícitamente al rol owner o member para un proyecto pueden crear espacios de nombres en otros proyectos a los que están asignados, incluso con solo el rol Read Only asignado.

Roles de proyecto personalizados

Rancher te permite asignar roles de proyecto personalizados a un usuario estándar en lugar de los típicos roles Owner, Member o Read Only. Estos roles pueden ser un rol de proyecto personalizado integrado o uno definido por un administrador de Rancher. Son convenientes para definir accesos restringidos o especializados para un usuario estándar dentro de un proyecto. Consulta la tabla a continuación para ver una lista de roles de proyecto personalizados integrados.

Referencia de roles de proyecto

La siguiente tabla enumera cada rol de proyecto personalizado integrado disponible en Rancher y si también es otorgado por el rol Owner, Member o Read Only.

Rol de proyecto integrado Propietario Miembro Sólo lectura

Gestionar miembros del proyecto

Crear espacios de nombres

Gestionar mapas de configuración

Gestionar Ingress

Gestionar catálogos de proyectos

Gestionar secretos

Gestionar cuentas de servicio

Gestionar servicios

Gestionar volúmenes

Gestionar cargas de trabajo

Ver secretos

Ver mapas de configuración

Ver Ingress

Ver miembros del proyecto

Ver catálogos de proyectos

Ver cuentas de servicio

Ver servicios

Ver volúmenes

Ver cargas de trabajo

Notas:

  • Cada rol de proyecto listado arriba, incluyendo Owner, Member y Read Only, está compuesto por múltiples reglas que otorgan acceso a varios recursos. Puedes ver los roles y sus reglas en la página Global > Seguridad > Roles.

  • Al visualizar los recursos asociados con los roles predeterminados creados por Rancher, si hay múltiples recursos de la API de Kubernetes en un solo elemento de línea, el recurso tendrá (Custom) añadido a él. Estos no son recursos personalizados, sino solo una indicación de que hay múltiples recursos de la API de Kubernetes como un recurso.

  • El rol Manage Project Members permite al propietario del proyecto gestionar a cualquier miembro del proyecto y otorgarles cualquier rol específico del proyecto, independientemente de su acceso a los recursos del proyecto. Ten cuidado al asignar este rol de forma individual.

Definición de roles personalizados

Como se mencionó anteriormente, se pueden definir roles personalizados para su uso a nivel de clúster o proyecto. El campo de contexto define si el rol aparecerá en la página de miembros del clúster, en la página de miembros del proyecto, o en ambas.

Al definir un rol personalizado, puedes otorgar acceso a recursos específicos o especificar roles de los cuales el rol personalizado debería heredar. Un rol personalizado puede estar compuesto por una combinación de concesiones específicas y roles heredados. Todas las concesiones son aditivas. Esto significa que definir una concesión más restringida para un recurso específico no anulará una concesión más amplia definida en un rol del que el rol personalizado está heredando.

Roles predeterminados de clúster y proyecto

Por defecto, cuando un usuario estándar crea un nuevo clúster o proyecto, se le asigna automáticamente un rol de propiedad: ya sea propietario del clúster o propietario del proyecto. Sin embargo, en algunas organizaciones, estos roles pueden extender en exceso el acceso administrativo. En este caso de uso, puedes cambiar el rol predeterminado por algo más restrictivo, como un conjunto de roles individuales o un rol personalizado.

Hay dos métodos para cambiar los roles predeterminados de clúster/proyecto:

  • Asignar roles personalizados: Crea un rol personalizado para tu clúster o proyecto, y luego establece el rol personalizado como predeterminado.

  • Asignar roles individuales: Configura múltiples roles de clúster/proyecto como predeterminados para la asignación al usuario que crea.

    Por ejemplo, en lugar de asignar un rol que hereda otros roles (como cluster owner), puedes elegir una mezcla de roles individuales (como manage nodes y manage storage).

  • Aunque puedes bloquear un rol predeterminado, el sistema aún asigna el rol a los usuarios que crean un clúster/proyecto.

  • Solo los usuarios que crean clústeres/proyectos heredan sus roles. Los usuarios añadidos a la membresía del clúster/proyecto después deben ser asignados explícitamente a sus roles.

Configurando Roles Predeterminados para Creadores de Clúster y Proyecto

Puedes cambiar el rol o roles del clúster o proyecto que se asignan automáticamente al usuario que lo crea.

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de rol.

  3. Haz clic en la pestaña Clúster o Proyecto/Espacios de nombres.

  4. Encuentra el rol personalizado o individual que deseas usar como predeterminado. Luego edita el rol seleccionando ⋮ > Editar Config.

  5. En la sección Predeterminado del Creador de Clúster o Predeterminado del Creador de Proyecto, habilita el rol como predeterminado.

  6. Haz clic en Guardar.

Resultado: Los roles predeterminados se configuran en función de tus cambios. Los roles asignados a los creadores de clúster/proyecto muestran una marca en la columna Predeterminado del Creador de Clúster/Proyecto.

Si deseas eliminar un rol predeterminado, edita el permiso y selecciona No de la opción de roles predeterminados.

Comportamiento de Revocación de Membresía de Clúster

Cuando revocas la membresía del clúster para un usuario estándar que tiene asignada explícitamente la membresía tanto al clúster como a un proyecto dentro del clúster, ese usuario estándar pierde sus roles de clúster pero mantiene sus roles de proyecto. En otras palabras, aunque has revocado los permisos del usuario para acceder al clúster y sus nodos, el usuario estándar aún puede:

Si deseas revocar completamente el acceso de un usuario dentro de un clúster, revoca tanto su membresía en el clúster como en el proyecto.

Comportamiento Externo RoleTemplate

En Rancher v2.9.0 y versiones posteriores, los objetos externos RoleTemplate solo pueden ser creados si el ClusterRole de respaldo existe en el clúster local o el ExternalRules está configurado en tu configuración.

Para contexto, el ClusterRole de respaldo contiene reglas y privilegios del clúster, y comparte el mismo metadata.name utilizado en el RoleTemplate en tu respectivo clúster referenciado por el ClusterRoleTemplateBinding/ProjectRoleTemplateBinding. Además, ten en cuenta que se requieren escalate permisos en RoleTemplates para crear RoleTemplates externos con ExternalRules.