Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Permisos globales

Users with permissions to modify accounts or resources are considered privileged users, only grant these permissions to trusted users.

Los permisos son derechos de acceso individuales que puedes asignar al seleccionar un permiso personalizado para un usuario.

Los permisos globales definen la autorización del usuario fuera del ámbito de cualquier clúster particular. De forma predeterminada, existen cuatro permisos globales: Administrator, Standard User y User-base.

  • Administrador: Estos usuarios tienen control total sobre todo el sistema Rancher y todos los clústeres dentro de él.

  • Usuario estándar: Estos usuarios pueden crear nuevos clústeres y utilizarlos. Los usuarios estándar también pueden asignar permisos a otros usuarios para sus clústeres.

  • Base de usuarios: Los usuarios de la base de usuarios solo tienen acceso de inicio de sesión.

No puedes actualizar ni eliminar los permisos globales integrados.

Asignación de permisos globales

Los permisos globales para usuarios locales se asignan de manera diferente a los usuarios que inician sesión en Rancher utilizando autenticación externa.

Permisos globales para nuevos usuarios locales

Cuando creas un nuevo usuario local, le asignas un permiso global mientras completas el formulario Añadir usuario.

Para ver los permisos predeterminados para nuevos usuarios,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de Roles.

  3. La página de Plantillas de Roles tiene pestañas para roles agrupados por ámbito. Cada tabla lista los roles en ese ámbito. En la pestaña Global, en la columna Predeterminado de Nuevo Usuario, los permisos otorgados a los nuevos usuarios por defecto están indicados con una marca de verificación.

Puedes cambiar los permisos globales predeterminados para satisfacer tus necesidades.

Permisos Globales para Usuarios con Autenticación Externa

Cuando un usuario inicia sesión en Rancher utilizando un proveedor de autenticación externa por primera vez, se le asignan automáticamente los permisos globales Predeterminado de Nuevo Usuario. Por defecto, Rancher asigna el permiso Usuario Estándar a los nuevos usuarios.

Para ver los permisos predeterminados para nuevos usuarios,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de Roles.

  3. La página de Plantillas de Roles tiene pestañas para roles agrupados por ámbito. Cada tabla lista los roles en ese ámbito. En la columna Predeterminado de Nuevo Usuario en cada página, los permisos otorgados a los nuevos usuarios por defecto están indicados con una marca de verificación.

Puedes cambiar los permisos predeterminados para satisfacer tus necesidades.

Los permisos pueden ser asignados a un usuario individual.

Puedes asignar un rol a todos en el grupo al mismo tiempo si el proveedor de autenticación externa admite grupos.

Permisos globales personalizados

Usar permisos personalizados es conveniente para proporcionar a los usuarios un acceso restringido o especializado a Rancher.

Cuando un usuario de una fuente de autenticación externa inicia sesión en Rancher por primera vez, se le asigna automáticamente un conjunto de permisos globales (en adelante, permisos). Por defecto, después de que un usuario inicia sesión por primera vez, se crea como un usuario y se le asigna el permiso predeterminado user. El permiso estándar user permite a los usuarios iniciar sesión y crear clústeres.

Sin embargo, en algunas organizaciones, estos permisos pueden extender demasiado el acceso. En lugar de asignar a los usuarios los permisos globales predeterminados de Administrator o Standard User, puedes asignarles un conjunto más restrictivo de permisos globales personalizados.

Los roles predeterminados, Administrador y Usuario Estándar, vienen con múltiples permisos globales integrados. El rol de Administrador incluye todos los permisos globales, mientras que el rol de usuario predeterminado incluye tres permisos globales: Crear Clústeres, Usar Plantillas de Catálogo y Base de Usuarios, que es equivalente al permiso mínimo para iniciar sesión en Rancher. En otras palabras, los permisos globales personalizados están modularizados de manera que si deseas cambiar los permisos del rol de usuario predeterminado, puedes elegir qué subconjunto de permisos globales se incluye en el nuevo rol de usuario predeterminado.

Los administradores pueden imponer permisos globales personalizados de varias maneras:

Combinando roles globales integrados

Rancher proporciona varios Roles Globales que otorgan permisos granulares para ciertos casos de uso comunes. La siguiente tabla enumera cada permiso global integrado y si está incluido en los permisos globales predeterminados, Administrator, Standard User y User-Base.

Permiso Global Personalizado Administrador Usuario Estándar Base de Usuarios

Crear Clústeres

Crear Plantillas RKE

Gestionar Autenticación

Gestionar Catálogos

Gestionar Controladores de Clúster

Gestionar Controladores de Nodos

Manage PodSecurityPolicy Templates

Gestionar funciones

Gestionar Configuraciones

Gestionar Usuarios

Utilizar Plantillas de Catálogo

Base de Usuarios (Acceso básico de inicio de sesión)

Para obtener detalles sobre qué recursos de Kubernetes corresponden a cada permiso global,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de Roles.

  3. Si haces clic en el nombre de un rol individual, se mostrará una tabla con todas las operaciones y recursos que están permitidos por el rol.

Notas:

  • Cada permiso listado anteriormente está compuesto por múltiples permisos individuales que no se enumeran en la interfaz de usuario de Rancher. Para obtener una lista completa de estos permisos y las reglas de las que están compuestos, accede a través de la API en /v3/globalRoles.

  • Al visualizar los recursos asociados con los roles predeterminados creados por Rancher, si hay múltiples recursos de la API de Kubernetes en un solo elemento de línea, se le añadirá (Custom). Estos no son recursos personalizados, sino solo una indicación de que hay múltiples recursos de la API de Kubernetes como un solo recurso.

El GlobalRole integrado Manage Users permite a los usuarios crear, modificar y eliminar otros usuarios dentro del entorno de Rancher. Si bien este permiso puede ser necesario para flujos de trabajo administrativos en entornos de confianza, otorgarlo a usuarios no confiables o de menor privilegio, como los usuarios estándar, representa un grave riesgo de seguridad y puede resultar en una escalada de privilegios.

Custom GlobalRoles

Puedes crear GlobalRoles personalizados para satisfacer casos de uso que no están directamente abordados por los GlobalRoles integrados.

Crea GlobalRoles personalizados a través de la interfaz de usuario o mediante automatización (como la API de Kubernetes de Rancher). Puedes especificar el mismo tipo de reglas que las reglas para roles ascendentes y clusterRoles.

Consulta la lista Recursos Globales para recursos relevantes.

Verbos de Escalación y Vinculación

Al otorgar permisos en GlobalRoles, ten en cuenta que Rancher respeta los verbos escalate y bind, de manera similar a Kubernetes.

Ambos verbos, que se proporcionan en el recurso GlobalRoles, pueden otorgar a los usuarios el permiso para eludir las comprobaciones de escalado de privilegios de Rancher. Esto permite potencialmente a los usuarios convertirse en administradores. Dado que esto representa un grave riesgo de seguridad, bind y escalate deben ser distribuidos a los usuarios con gran precaución.

El verbo escalate permite a los usuarios cambiar un GlobalRole y añadir cualquier permiso, incluso si el usuario no tiene los permisos en el GlobalRole actual o en la nueva versión del GlobalRole.

El verbo bind permite a los usuarios crear un GlobalRoleBinding al GlobalRole especificado, incluso si no tienen los permisos en el GlobalRole.

El verbo comodín también incluye los verbos bind y escalate. Esto significa que otorgar en GlobalRoles a un usuario también le otorga tanto escalate como bind.
Ejemplos de GlobalRole Personalizados

Para otorgar permiso para escalar solo el GlobalRole test-gr:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'escalate'

Para otorgar permiso para escalar todos los GlobalRoles:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - 'escalate'

Para otorgar permiso para crear bindings (que eluden las comprobaciones de escalado) solo al GlobalRole test-gr:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'bind'
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalrolebindings'
  verbs:
  - 'create'

Otorgando permisos * (que incluye tanto escalate como bind):

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - '*'

Permisos de GlobalRole en Clusters Descendentes

Los GlobalRoles pueden otorgar uno o más RoleTemplates en cada cluster descendente a través del campo inheritedClusterRoles. Los valores en este campo deben referirse a un RoleTemplate que exista y tenga un context de Cluster.

Con este campo, los usuarios obtienen los permisos especificados en todos los clusters descendentes actuales o futuros. Por ejemplo, considera el siguiente GlobalRole:

apiVersion: management.cattle.io/v3
kind: GlobalRole
displayName: All Downstream Owner
metadata:
  name: all-downstream-owner
inheritedClusterRoles:
- cluster-owner

Cualquier usuario con este permiso será propietario del cluster en todos los clusters descendentes. Si se añade un nuevo cluster, independientemente del tipo, el usuario también será propietario de ese cluster.

Usar este campo en default GlobalRoles puede resultar en que los usuarios obtengan permisos excesivos.

Configuración de permisos globales predeterminados

Si deseas restringir los permisos predeterminados para nuevos usuarios, puedes eliminar el permiso user como rol predeterminado y luego asignar múltiples permisos individuales como predeterminados en su lugar. Por el contrario, también puedes añadir permisos administrativos además de un conjunto de otros permisos estándar.

Los roles predeterminados solo se asignan a los usuarios añadidos desde un proveedor de autenticación externo. Para los usuarios locales, debes asignar explícitamente permisos globales al añadir un usuario a Rancher. Puedes personalizar estos permisos globales al añadir al usuario.

Para cambiar los permisos globales predeterminados que se asignan a los usuarios externos al iniciar sesión por primera vez, sigue estos pasos:

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Plantillas de Roles. En la página de Plantillas de Roles, asegúrate de que la pestaña Global esté seleccionada.

  3. Encuentra el conjunto de permisos que deseas añadir o eliminar como predeterminado. Luego edita el permiso seleccionando ⋮ > Editar Config.

  4. Si deseas añadir el permiso como predeterminado, selecciona Sí: Rol predeterminado para nuevos usuarios y luego haz clic en Guardar. Si deseas eliminar un permiso predeterminado, edita el permiso y selecciona No.

Resultado: Los permisos globales predeterminados se configuran en función de tus cambios. Los permisos asignados a nuevos usuarios muestran una marca en la columna Por Defecto para Nuevos Usuarios.

Configuración de permisos globales para usuarios individuales

Para configurar permisos para un usuario,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Usuarios.

  3. Ve al usuario cuyo nivel de acceso deseas cambiar y haz clic en ⋮ > Editar Config.

  4. En las secciones de Permisos Globales y Integrados, marca las casillas para cada permiso que deseas que tenga el usuario. Si has creado roles desde la página de Plantillas de Roles, aparecerán en la sección Personalizada y podrás elegir entre ellos también.

  5. Haz clic en Guardar.

Resultado: Los permisos globales del usuario han sido actualizados.

Configuración de permisos globales para grupos

Si tienes un grupo de individuos que necesitan el mismo nivel de acceso en Rancher, puede ahorrar tiempo asignando permisos a todo el grupo a la vez, de modo que los usuarios del grupo tengan el nivel de acceso apropiado la primera vez que inicien sesión en Rancher.

Después de asignar un rol global personalizado a un grupo, el rol global personalizado será asignado a un usuario del grupo cuando inicie sesión en Rancher.

Para los usuarios existentes, los nuevos permisos entrarán en vigor cuando los usuarios cierren sesión en Rancher y vuelvan a iniciar sesión, o cuando un administrador actualice las membresías del grupo.

Para los nuevos usuarios, los nuevos permisos entran en vigor cuando los usuarios inician sesión en Rancher por primera vez. Los nuevos usuarios de este grupo recibirán los permisos del rol global personalizado además de los permisos globales Por Defecto para Nuevos Usuarios. Por defecto, los permisos Por Defecto para Nuevos Usuarios son equivalentes al rol global Usuario Estándar, pero los permisos por defecto pueden ser configurados.

Si un usuario es eliminado del grupo del proveedor de autenticación externa, perdería sus permisos del rol global personalizado que fue asignado al grupo. Continuaría teniendo los roles restantes que le fueron asignados, que típicamente incluirían los roles marcados como Por Defecto para Nuevos Usuarios. Rancher eliminará los permisos asociados con el grupo cuando el usuario cierre sesión, o cuando un administrador actualice las membresías del grupo, lo que ocurra primero.

Requisitos previos:

Solo puedes asignar un rol global a un grupo si:

Para asignar un rol global personalizado a un grupo, sigue estos pasos:

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Grupos.

  3. Ve al grupo al que deseas asignar un rol global personalizado y haz clic en ⋮ > Editar Config.

  4. En las secciones Permisos Globales, Personalizados, y/o Integrados, selecciona los permisos que el grupo debería tener.

  5. Haga clic en Crear.

Resultado: El rol global personalizado entrará en vigor cuando los usuarios del grupo inicien sesión en Rancher.

Actualizando las membresías del grupo

Cuando un administrador actualiza los permisos globales para un grupo, los cambios entran en vigor para los miembros individuales del grupo después de que cierren sesión en Rancher y vuelvan a iniciar sesión.

Para que los cambios surtan efecto de inmediato, un administrador o propietario del clúster puede actualizar las membresías del grupo.

Un administrador también puede querer actualizar las membresías del grupo si un usuario es eliminado de un grupo en el servicio de autenticación externo. En ese caso, la actualización hace que Rancher sea consciente de que el usuario fue eliminado del grupo.

Para actualizar las membresías del grupo,

  1. En la esquina superior izquierda, haz clic en ☰ > Usuarios y autenticación.

  2. En la barra de navegación izquierda, haz clic en Usuarios.

  3. Haz clic en Actualizar las membresías del grupo.

Resultado: Cualquier cambio en los permisos de los miembros del grupo entrará en vigor.