Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Funciones personalizadas

Dentro de Rancher, los roles determinan qué acciones puede realizar un usuario dentro de un clúster o proyecto.

Ten en cuenta que los roles son diferentes de los permisos, que determinan a qué clústeres y proyectos puedes acceder.

Es posible que un rol personalizado permita la escalada de privilegios. Para más detalles, consulta esta sección.

Requisitos previos

Para completar las tareas en esta página, se requiere uno de los siguientes permisos:

Creación de un Rol Personalizado

Aunque Rancher viene con un conjunto de roles de usuario predeterminados, también puedes crear roles personalizados predeterminados para proporcionar a los usuarios permisos muy específicos dentro de Rancher.

Los pasos para añadir roles personalizados difieren según la versión de Rancher.

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de rol.

  3. Selecciona una pestaña para determinar el alcance del rol que estás añadiendo. Las pestañas son:

    • Global: El rol es válido para permitir a los miembros gestionar recursos de alcance global.

    • Clúster: El rol es válido para la asignación al añadir/gestionar miembros en clústeres.

    • Proyecto/Espacios de nombres: El rol es válido para la asignación al añadir/gestionar miembros en proyectos o espacios de nombres.

  4. Haz clic en Crear Rol Global, Crear Rol de Clúster o Crear Rol de Proyecto/Espacios de nombres, dependiendo del alcance.

  5. Introduce un Nombre para el rol.

  6. Opcional: Elige la opción Predeterminado de Creador de Clúster/Proyecto para asignar este rol a un usuario cuando cree un nuevo clúster o proyecto. Usando esta función, puedes ampliar o restringir los roles predeterminados para los creadores de clústeres/proyectos.

    De forma predeterminada, los roles Predeterminado de Creador de Clúster y Predeterminado de Creador de Proyecto son Cluster Owner y Project Owner respectivamente.

  7. Utilice las opciones Conceder Recursos para asignar Puntos finales de la API de Kubernetes individuales al rol.

    Al visualizar los recursos asociados con los roles predeterminados creados por Rancher, si hay múltiples recursos de la API de Kubernetes en un solo elemento de línea, el recurso tendrá (Custom) añadido a él. Estos no son recursos personalizados, sino solo una indicación de que hay múltiples recursos de la API de Kubernetes como un recurso.

    El campo de texto de recurso proporciona un método para buscar recursos de API de Kubernetes predefinidos o introducir un nombre de recurso personalizado para la concesión. El recurso predefinido o (Custom) debe seleccionarse del menú desplegable, después de ingresar un nombre de recurso en este campo.

    También puede elegir los métodos cURL individuales (Create, Delete, Get, etc.) disponibles para usar con cada punto final que asigne.

  8. Utilice las opciones Heredar de para asignar roles individuales de Rancher a sus roles personalizados. Nota: Cuando un rol personalizado hereda de un rol padre, el rol padre no puede ser eliminado hasta que se elimine el rol hijo.

  9. Haga clic en Crear.

Creando un Rol Personalizado que Hereda de Otro Rol

Si tienes un grupo de individuos que necesitan el mismo nivel de acceso en Rancher, puede ahorrar tiempo creando un rol personalizado en el que se copien todas las reglas de otro rol, como el rol de administrador, en un nuevo rol. Esto le permite configurar solo las variaciones entre el rol existente y el nuevo rol.

El rol personalizado puede ser asignado a un usuario o grupo para que el rol surta efecto la primera vez que el usuario o los usuarios inicien sesión en Rancher.

Para crear un rol personalizado basado en un rol existente,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de rol.

  3. Haz clic en la pestaña Clúster o Proyecto/Espacios de nombres. Haga clic en Crear Rol de Clúster o Crear Rol de Proyecto/Espacios de nombres dependiendo del alcance. Nota: Solo los roles de clúster y los roles de proyecto/espacios de nombres pueden heredar de otro rol.

  4. Introduzca un nombre para el rol.

  5. En la pestaña Heredar De, seleccione el/los rol(es) de los que el rol personalizado heredará permisos.

  6. En la pestaña Conceder Recursos, seleccione las operaciones de recursos de Kubernetes que se habilitarán para los usuarios con el rol personalizado.

    El campo de texto de recurso proporciona un método para buscar recursos de API de Kubernetes predefinidos o ingresar un nombre de recurso personalizado para la concesión. El recurso predefinido o (Custom) debe seleccionarse del menú desplegable, después de ingresar un nombre de recurso en este campo.

  7. Opcional: Asigne el rol como predeterminado.

  8. Haga clic en Crear.

Eliminación de un rol personalizado

Al eliminar un rol personalizado, se eliminan todas las vinculaciones de rol global con este rol personalizado.

Si a un usuario se le asigna solo un rol personalizado y se elimina el rol, el usuario perdería el acceso a Rancher. Para que el usuario recupere el acceso, un administrador tendría que editar al usuario y aplicar nuevos permisos globales.

Los roles personalizados se pueden eliminar, pero los roles integrados no se pueden eliminar.

Para eliminar un rol personalizado,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de rol.

  3. Ve al rol global personalizado que debe ser eliminado y haz clic en ⋮ (…​) > Eliminar.

  4. Haz clic en Eliminar.

Asignación de un rol personalizado a un grupo

Si tienes un grupo de individuos que necesitan el mismo nivel de acceso en Rancher, puede ahorrar tiempo crear un rol personalizado. Cuando el rol se asigna a un grupo, los usuarios en el grupo tienen el nivel de acceso apropiado la primera vez que inician sesión en Rancher.

Cuando un usuario en el grupo inicia sesión, recibe por defecto el rol global de Usuario Estándar integrado. También obtendrán los permisos asignados a sus grupos.

Si un usuario es eliminado del grupo del proveedor de autenticación externa, perdería sus permisos del rol personalizado que fue asignado al grupo. Continuaría teniendo su rol individual de Usuario Estándar.

Requisitos previos:

Solo puedes asignar un rol global a un grupo si:

Para asignar un rol personalizado a un grupo, sigue estos pasos:

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y Autenticación.

  2. En la barra de navegación izquierda, haz clic en Grupos.

  3. Ve al grupo existente que se le asignará el rol personalizado y haz clic en ⋮ > Editar Config.

  4. Si has creado roles, se mostrarán en la sección Personalizado. Elige cualquier rol personalizado que se asignará al grupo.

  5. Opcional: En las secciones Permisos Globales o Integrado, selecciona cualquier permiso adicional que deba tener el grupo.

  6. Haz clic en Guardar..

Resultado: El rol personalizado entrará en vigor cuando los usuarios del grupo inicien sesión en Rancher.

Escalación de privilegios

El permiso personalizado Configure Catalogs es potente y debe utilizarse con precaución. Cuando un administrador asigna el permiso Configure Catalogs a un usuario estándar, podría resultar en una escalación de privilegios en la que el usuario podría otorgarse acceso de administrador a los clústeres provisionados por Rancher. Cualquiera con este permiso debe ser considerado equivalente a un administrador.