Este documento ha sido traducido utilizando tecnología de traducción automática. Si bien nos esforzamos por proporcionar traducciones precisas, no ofrecemos garantías sobre la integridad, precisión o confiabilidad del contenido traducido. En caso de discrepancia, la versión original en inglés prevalecerá y constituirá el texto autorizado.

Control de acceso basado en funciones

Esta sección describe los permisos necesarios para utilizar la app rancher-compliance.

El rancher-compliance es, por defecto, una característica exclusiva para administradores de clúster.

Sin embargo, el gráfico rancher-compliance instala estos dos ClusterRoles por defecto:

administrador-de-cumplimiento
vista-de-cumplimiento

En Rancher, solo los propietarios de clúster y los administradores globales tienen acceso compliance-admin por defecto.

Acceso de Administrador de Clúster

Los escaneos de cumplimiento de Rancher son una característica exclusiva para administradores de clúster por defecto. Esto significa que solo los administradores globales de Rancher y el propietario del clúster pueden:

Instalar/Desinstalar la app rancher-compliance
Ver los enlaces de navegación para CRD de Cumplimiento - ClusterScanBenchmarks, ClusterScanProfiles, ClusterScans
Listar los ClusterScanBenchmarks y ClusterScanProfiles por defecto
Crear/Editar/Eliminar nuevos ClusterScanProfiles
Crear/Editar/Eliminar un nuevo ClusterScan para ejecutar el escaneo de cumplimiento en el clúster
Ver y Descargar el ClusterScanReport creado después de que el ClusterScan se complete

Resumen de permisos predeterminados para roles predeterminados de Kubernetes

El rancher-compliance crea tres ClusterRoles y añade el acceso a la CRD de Cumplimiento Benchmark a los siguientes K8s ClusterRoles por defecto:

ClusterRole creado por el gráfico ClusterRole K8s por defecto Permisos otorgados con el Rol

ClusterRole creado por el gráfico	ClusterRole K8s por defecto	Permisos otorgados con el Rol
`compliance-admin`	`admin`	Capacidad para CRUD clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR
`compliance-view`	`ver `	Capacidad para listar ® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR

compliance-admin

admin

Capacidad para CRUD clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR

compliance-view

`ver `

Capacidad para listar ® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR

Por defecto, solo el rol de propietario del clúster tendrá la capacidad de gestionar y utilizar la función rancher-compliance.

Los otros roles de Rancher (miembro del clúster, propietario del proyecto, miembro del proyecto) no tienen permisos predeterminados para gestionar y utilizar los recursos de rancher-compliance.

Pero si un propietario de clúster desea delegar acceso a otros usuarios, puede hacerlo creando manualmente ClusterRoleBindings entre estos usuarios y los ClusterRoles de cumplimiento anteriormente indicados. No se admite la agregación automática de roles para los ClusterRoles rancher-compliance.