Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Rôles personnalisés

Dans Rancher, les rôles déterminent quelles actions un utilisateur peut effectuer au sein d’un cluster ou d’un projet.

Notez que les rôles sont différents des permissions, qui déterminent à quels clusters et projets vous pouvez accéder.

Il est possible qu’un rôle personnalisé permette l’escalade de privilèges. Pour plus de détails, voir cette section.

Conditions préalables

Pour accomplir les tâches sur cette page, l’une des permissions suivantes est requise :

Création d’un Rôle Personnalisé

Bien que Rancher soit livré avec un ensemble de rôles d’utilisateur par défaut, vous pouvez également créer des rôles personnalisés par défaut pour fournir aux utilisateurs des permissions très spécifiques au sein de Rancher.

Les étapes pour ajouter des rôles personnalisés diffèrent selon la version de Rancher.

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.

  2. Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle.

  3. Sélectionnez un onglet pour déterminer la portée du rôle que vous ajoutez. Les onglets sont :

    • Global : Le rôle est valide pour permettre aux membres de gérer des ressources à portée globale.

    • Grappe : Le rôle est valide pour l’attribution lors de l’ajout/de la gestion des membres aux clusters.

    • Projet/Espaces de noms : Le rôle est valide pour l’attribution lors de l’ajout/de la gestion des membres aux projets ou espaces de noms.

  4. Cliquez sur Créer un rôle global, Créer un rôle de cluster ou Créer un rôle de projet/espace de noms, selon la portée.

  5. Entrez un Nom pour le rôle.

  6. Facultatives : Choisissez l’option Créateur de cluster/projet par défaut pour attribuer ce rôle à un utilisateur lorsqu’il crée un nouveau cluster ou projet. Avec cette fonctionnalité, vous pouvez étendre ou restreindre les rôles par défaut pour les créateurs de clusters/projets.

    Par défaut, les rôles de Créateur de cluster par défaut et de Créateur de projet par défaut sont Cluster Owner et Project Owner respectivement.

  7. Utilisez les options Accorder des ressources pour attribuer des points de terminaison de l’API Kubernetes individuels au rôle.

    Lors de la visualisation des ressources associées aux rôles par défaut créés par Rancher, s’il y a plusieurs ressources de l’API Kubernetes sur un même élément de ligne, la ressource aura (Custom) ajouté à son nom. Ce ne sont pas des ressources personnalisées mais simplement une indication qu’il y a plusieurs ressources de l’API Kubernetes en tant qu’une seule ressource.

    Le champ Ressource fournit un moyen de rechercher des ressources de l’API Kubernetes prédéfinies ou de saisir un nom de ressource personnalisé pour l’autorisation. La ressource prédéfinie ou (Custom) doit être sélectionnée dans le menu déroulant, après avoir saisi un nom de ressource dans ce champ.

    Vous pouvez également choisir les méthodes cURL individuelles (Create, Delete, Get, etc.) disponibles pour chaque point de terminaison que vous attribuez.

  8. Utilisez les options Hériter de pour attribuer des rôles Rancher individuels à vos rôles personnalisés. Remarque : Lorsqu’un rôle personnalisé hérite d’un rôle parent, le rôle parent ne peut pas être supprimé tant que le rôle enfant n’est pas supprimé.

  9. Cliquez sur Create.

Créer un rôle personnalisé qui hérite d’un autre rôle

Si vous avez un groupe d’individus qui ont besoin du même niveau d’accès dans Rancher, il peut être utile de créer un rôle personnalisé dans lequel toutes les règles d’un autre rôle, comme le rôle d’administrateur, sont copiées dans un nouveau rôle. Cela vous permet de ne configurer que les variations entre le rôle existant et le nouveau rôle.

Le rôle personnalisé peut ensuite être attribué à un utilisateur ou à un groupe afin que le rôle prenne effet la première fois que l’utilisateur ou les utilisateurs se connectent à Rancher.

Pour créer un rôle personnalisé basé sur un rôle existant,

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.

  2. Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle.

  3. Cliquez sur l’onglet Cluster ou Projet/Espaces de noms. Cliquez sur Créer un rôle de cluster ou Créer un rôle de projet/espace de noms selon la portée. Remarque : Seuls les rôles de cluster et les rôles de projet/espace de noms peuvent hériter d’un autre rôle.

  4. Entrez un nom pour le rôle.

  5. Dans l’onglet Hériter de, sélectionnez le(s) rôle(s) dont le rôle personnalisé héritera des autorisations.

  6. Dans l’onglet Accorder des ressources, sélectionnez les opérations de ressources Kubernetes qui seront activées pour les utilisateurs avec le rôle personnalisé.

    Le champ Ressource fournit un moyen de rechercher des ressources de l’API Kubernetes prédéfinies ou de saisir un nom de ressource personnalisé pour l’octroi. La ressource prédéfinie ou (Custom) doit être sélectionnée dans le menu déroulant, après avoir saisi un nom de ressource dans ce champ.

  7. Facultatives : Attribuez le rôle par défaut.

  8. Cliquez sur Create.

Suppression d’un rôle personnalisé

Lors de la suppression d’un rôle personnalisé, toutes les liaisons de rôle globales avec ce rôle personnalisé sont supprimées.

Si un utilisateur n’a qu’un seul rôle personnalisé attribué et que le rôle est supprimé, l’utilisateur perdra l’accès à Rancher. Pour que l’utilisateur retrouve l’accès, un administrateur devra modifier l’utilisateur et appliquer de nouvelles autorisations globales.

Les rôles personnalisés peuvent être supprimés, mais les rôles intégrés ne peuvent pas être supprimés.

Pour supprimer un rôle personnalisé,

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.

  2. Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle.

  3. Accédez au rôle global personnalisé qui doit être supprimé et cliquez sur ⋮ (…​) > Supprimer.

  4. Cliquez sur Supprimer.

Attribution d’un rôle personnalisé à un groupe

Si vous avez un groupe d’individus qui ont besoin du même niveau d’accès dans Rancher, il peut être utile de créer un rôle personnalisé. Lorsque le rôle est attribué à un groupe, les utilisateurs du groupe ont le niveau d’accès approprié la première fois qu’ils se connectent à Rancher.

Lorsqu’un utilisateur du groupe se connecte, il obtient par défaut le rôle global d’utilisateur standard intégré. Ils obtiendront également les autorisations attribuées à leurs groupes.

Si un utilisateur est retiré du groupe du fournisseur d’authentification externe, il perdra ses autorisations du rôle personnalisé qui a été attribué au groupe. Ils continueront à avoir leur rôle individuel d’utilisateur standard.

Conditions préalables :

Vous ne pouvez attribuer un rôle global à un groupe que si :

Pour attribuer un rôle personnalisé à un groupe, suivez ces étapes :

  1. Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.

  2. Dans la barre de navigation à gauche, cliquez sur Groupes.

  3. Allez au groupe existant qui se verra attribuer le rôle personnalisé et cliquez sur ⋮ > Modifier la configuration.

  4. Si vous avez créé des rôles, ils apparaîtront dans la section Personnalisé. Choisissez n’importe quel rôle personnalisé qui sera attribué au groupe.

  5. Facultatives : Dans les sections Permissions globales ou Intégrés, sélectionnez toutes les permissions supplémentaires que le groupe devrait avoir.

  6. Cliquez sur Enregistrer..

Résultat : Le rôle personnalisé prendra effet lorsque les utilisateurs du groupe se connecteront à Rancher.

Escalade de privilèges

La Configure Catalogs permission personnalisée est puissante et doit être utilisée avec précaution. Lorsqu’un administrateur attribue la Configure Catalogs permission à un utilisateur standard, cela pourrait entraîner une escalade de privilèges dans laquelle l’utilisateur pourrait se donner un accès administrateur aux clusters provisionnés par Rancher. Quiconque ayant cette permission doit être considéré comme équivalent à un administrateur.