Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Autorisations globales

Users with permissions to modify accounts or resources are considered privileged users, only grant these permissions to trusted users.

Les autorisations sont des droits d’accès individuels que vous pouvez attribuer lors de la sélection d’une autorisation personnalisée pour un utilisateur.

Les autorisations globales définissent l’autorisation des utilisateurs en dehors du cadre de tout cluster particulier. Par défaut, il existe quatre autorisations globales : Administrator, Standard User et User-base.

Administrateur : Ces utilisateurs ont un contrôle total sur l’ensemble du système Rancher et tous les clusters qui s’y trouvent.
Utilisateur Standard : Ces utilisateurs peuvent créer de nouveaux clusters et les utiliser. Les Utilisateurs Standard peuvent également attribuer à d’autres utilisateurs des autorisations pour leurs clusters.
Base d’utilisateurs : Les utilisateurs de la base d’utilisateurs n’ont qu’un accès de connexion.

Vous ne pouvez pas mettre à jour ou supprimer les autorisations globales intégrées.

Attribution des autorisations globales

Les autorisations globales pour les utilisateurs locaux sont attribuées différemment de celles des utilisateurs qui se connectent à Rancher en utilisant une authentification externe.

Autorisations globales pour les nouveaux utilisateurs locaux

Lorsque vous créez un nouvel utilisateur local, vous lui attribuez une autorisation globale en complétant le formulaire Ajouter un utilisateur.

Pour voir les autorisations par défaut pour les nouveaux utilisateurs,

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle.
La page Modèles de rôle a des onglets pour les rôles regroupés par portée. Chaque tableau répertorie les rôles dans cette portée. Dans l’onglet Global, dans la colonne Nouveaux utilisateurs par défaut, les autorisations accordées aux nouveaux utilisateurs par défaut sont indiquées par une coche.

Vous pouvez modifier les autorisations globales par défaut pour répondre à vos besoins.

Autorisations globales pour les utilisateurs avec authentification externe

Lorsqu’un utilisateur se connecte à Rancher en utilisant un fournisseur d’authentification externe pour la première fois, il se voit automatiquement attribuer les autorisations globales Nouvel utilisateur par défaut. Par défaut, Rancher attribue l’autorisation Utilisateur Standard aux nouveaux utilisateurs.

Pour voir les autorisations par défaut pour les nouveaux utilisateurs,

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle.
La page Modèles de rôle a des onglets pour les rôles regroupés par portée. Chaque tableau répertorie les rôles dans cette portée. Dans la colonne Nouvel utilisateur par défaut sur chaque page, les autorisations accordées aux nouveaux utilisateurs par défaut sont indiquées par une coche.

Vous pouvez modifier les autorisations par défaut pour répondre à vos besoins.

Les autorisations peuvent être attribuées à un utilisateur individuel.

Vous pouvez attribuer un rôle à tout le monde dans le groupe en même temps si le fournisseur d’authentification externe prend en charge les groupes.

Autorisations globales personnalisées

Utiliser des autorisations personnalisées est pratique pour fournir aux utilisateurs un accès restreint ou spécialisé à Rancher.

Lorsqu’un utilisateur d’une source d’authentification externe se connecte à Rancher pour la première fois, il se voit automatiquement attribuer un ensemble d’autorisations globales (ci-après, autorisations). Par défaut, après qu’un utilisateur se soit connecté pour la première fois, il est créé en tant qu’utilisateur et se voit attribuer l’autorisation par défaut user. L’autorisation standard user permet aux utilisateurs de se connecter et de créer des clusters.

Cependant, dans certaines organisations, ces autorisations peuvent accorder trop d’accès. Plutôt que d’attribuer aux utilisateurs les autorisations globales par défaut de Administrator ou Standard User, vous pouvez leur attribuer un ensemble d’autorisations globales personnalisées plus restrictif.

Les rôles par défaut, Administrateur et Utilisateur Standard, comportent chacun plusieurs autorisations globales intégrées. Le rôle d’Administrateur inclut toutes les autorisations globales, tandis que le rôle d’Utilisateur Standard inclut trois autorisations globales : Créer des Clusters, Utiliser des Modèles de Catalogue, et Base d’Utilisateurs, ce qui équivaut à l’autorisation minimale pour se connecter à Rancher. En d’autres termes, les autorisations globales personnalisées sont modulaires, de sorte que si vous souhaitez modifier les autorisations du rôle d’Utilisateur Standard par défaut, vous pouvez choisir quel sous-ensemble d’autorisations globales est inclus dans le nouveau rôle d’Utilisateur Standard par défaut.

Les administrateurs peuvent appliquer des autorisations globales personnalisées de plusieurs manières :

Créer des GlobalRoles personnalisés.
Changer les autorisations par défaut pour les nouveaux utilisateurs.
Configurer les autorisations globales pour les utilisateurs individuels.
Configurer les autorisations globales pour les groupes.

Combiner les Rôles Globaux Intégrés

Rancher fournit plusieurs Rôles Globaux qui accordent des autorisations granulaires pour certains cas d’utilisation courants. Le tableau suivant répertorie chaque autorisation globale intégrée et indique si elle est incluse dans les autorisations globales par défaut, Administrator, Standard User et User-Base.

Permission Globale Personnalisée	Administrateur	Utilisateur Standard
Créer des Clusters	✓	✓
Créer des Modèles RKE	✓	✓
Gérer l’Authentification	✓
Gérer les Catalogues	✓
Gérer les Pilotes de Cluster	✓
Gérer les Pilotes de Nœud	✓
Gérer les Modèles de Politique de Sécurité des Pods	✓
Gérer les rôles	✓
Gérer les Paramètres	✓
Gérer les Utilisateurs	✓
Utiliser des Modèles de Catalogue	✓	✓
Base d’utilisateurs (Accès de connexion de base)	✓	✓

Permission Globale Personnalisée

Administrateur

Utilisateur Standard

Base d’utilisateurs

Créer des Clusters

✓

Créer des Modèles RKE

✓

Gérer l’Authentification

✓

Gérer les Catalogues

✓

Gérer les Pilotes de Cluster

✓

Gérer les Pilotes de Nœud

✓

Gérer les Modèles de Politique de Sécurité des Pods

✓

Gérer les rôles

✓

Gérer les Paramètres

✓

Gérer les Utilisateurs

✓

Utiliser des Modèles de Catalogue

✓

Base d’utilisateurs (Accès de connexion de base)

✓

Pour des détails sur les ressources Kubernetes correspondant à chaque autorisation globale,

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle.
Si vous cliquez sur le nom d’un rôle individuel, un tableau affiche toutes les opérations et ressources autorisées par ce rôle.

Remarques :

Chaque autorisation énumérée ci-dessus est composée de plusieurs autorisations individuelles non listées dans l’interface utilisateur de Rancher. Pour une liste complète de ces autorisations et des règles dont elles sont composées, accédez à l’API à /v3/globalRoles.
Lors de la visualisation des ressources associées aux rôles par défaut créés par Rancher, s’il y a plusieurs ressources API Kubernetes sur un même élément de ligne, la ressource aura (Custom) ajoutée à son nom. Ce ne sont pas des ressources personnalisées mais simplement une indication qu’il y a plusieurs ressources API Kubernetes en tant qu’une seule ressource.

Le GlobalRole intégré Manage Users permet aux utilisateurs de créer, modifier et supprimer d’autres utilisateurs dans l’environnement Rancher. Bien que cette permission puisse être nécessaire pour les flux de travail administratifs dans des environnements de confiance, l’accorder à des utilisateurs non fiables ou à privilèges inférieurs, tels que les utilisateurs standard, pose un risque de sécurité sérieux et peut entraîner une élévation de privilèges.

GlobalRoles personnalisés

Vous pouvez créer des GlobalRoles personnalisés pour satisfaire des cas d’utilisation non directement abordés par les GlobalRoles intégrés.

Créez des GlobalRoles personnalisés via l’interface utilisateur ou par automatisation (comme l’API Kubernetes de Rancher). Vous pouvez spécifier le même type de règles que celles des rôles en amont et des clusterRoles.

Consultez la liste Ressources Globales pour les ressources pertinentes.

Verbes Escalate et Bind

Lors de l’attribution des autorisations sur les GlobalRoles, gardez à l’esprit que Rancher respecte les verbes escalate et bind, de manière similaire à Kubernetes.

Ces deux verbes, qui sont attribués à la ressource GlobalRoles, peuvent accorder aux utilisateurs l’autorisation de contourner les vérifications d’élévation de privilèges de Rancher. Cela permet potentiellement aux utilisateurs de devenir administrateurs. Étant donné que cela représente un risque de sécurité sérieux, bind et escalate doivent être distribués aux utilisateurs avec une grande prudence.

Le verbe escalate permet aux utilisateurs de modifier un GlobalRole et d’ajouter n’importe quelle autorisation, même si ceux-ci ne disposent pas des autorisations dans le GlobalRole actuel ou dans la nouvelle version du GlobalRole.

Le verbe bind permet aux utilisateurs de créer un GlobalRoleBinding pour le GlobalRole spécifié, même s’ils ne disposent pas des autorisations dans ce GlobalRole.

Le verbe générique inclut également les verbes bind et escalate. Cela signifie que donner sur les GlobalRoles à un utilisateur lui accorde également escalate et bind.

Exemples de GlobalRole personnalisés

Pour accorder l’autorisation d’escalader uniquement le GlobalRole test-gr :

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'escalate'

Pour accorder l’autorisation d’escalader tous les GlobalRoles :

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - 'escalate'

Pour accorder l’autorisation de créer des liaisons (qui contournent les vérifications d’escalade) uniquement pour le GlobalRole test-gr :

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'bind'
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalrolebindings'
  verbs:
  - 'create'

Accorder les autorisations * (qui incluent à la fois escalate et bind) :

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - '*'

Autorisations GlobalRole sur les clusters en aval

Les GlobalRoles peuvent accorder un ou plusieurs RoleTemplates sur chaque cluster en aval via le champ inheritedClusterRoles. Les valeurs de ce champ doivent faire référence à un RoleTemplate qui existe et a un context de Cluster.

Avec ce champ, les utilisateurs obtiennent les autorisations spécifiées sur tous les clusters en aval actuels ou futurs. Par exemple, considérons le GlobalRole suivant :

apiVersion: management.cattle.io/v3
kind: GlobalRole
displayName: All Downstream Owner
metadata:
  name: all-downstream-owner
inheritedClusterRoles:
- cluster-owner

Tout utilisateur disposant de cette autorisation sera propriétaire du cluster sur tous les clusters en aval. Si un nouveau cluster est ajouté, quel que soit son type, l’utilisateur sera également propriétaire de ce cluster.

Utiliser ce champ sur GlobalRoles par défaut peut entraîner l’octroi d’autorisations excessives aux utilisateurs.

Configuration des autorisations globales par défaut

Si vous souhaitez restreindre les autorisations par défaut pour les nouveaux utilisateurs, vous pouvez supprimer l’autorisation user en tant que rôle par défaut et ensuite attribuer plusieurs autorisations individuelles par défaut à la place. Inversement, vous pouvez également ajouter des autorisations administratives en plus d’un ensemble d’autres autorisations standard.

Les rôles par défaut ne sont attribués qu’aux utilisateurs ajoutés à partir d’un fournisseur d’authentification externe. Pour les utilisateurs locaux, vous devez explicitement attribuer des autorisations globales lors de l’ajout d’un utilisateur à Rancher. Vous pouvez personnaliser ces autorisations globales lors de l’ajout de l’utilisateur.

Pour modifier les autorisations globales par défaut qui sont attribuées aux utilisateurs externes lors de leur première connexion, suivez ces étapes :

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Modèles de Rôle. Sur la page Modèles de Rôle, assurez-vous que l’onglet Global est sélectionné.
Trouvez l’ensemble des autorisations que vous souhaitez ajouter ou supprimer par défaut. Puis modifiez l’autorisation en sélectionnant ⋮ > Modifier la Configuration.
Si vous souhaitez ajouter l’autorisation par défaut, sélectionnez Oui : Rôle par défaut pour les nouveaux utilisateurs puis cliquez sur Enregistrer. Si vous souhaitez supprimer une autorisation par défaut, modifiez l’autorisation et sélectionnez Non.

Résultat : Les autorisations globales par défaut sont configurées en fonction de vos modifications. Les autorisations attribuées aux nouveaux utilisateurs affichent une coche dans la colonne Par défaut Nouvel Utilisateur.

Configuration des Autorisations Globales pour les Utilisateurs Individuels

Pour configurer l’autorisation pour un utilisateur,

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Utilisateurs.
Allez sur l’utilisateur dont vous souhaitez changer le niveau d’accès et cliquez sur ⋮ > Modifier la Configuration.
Dans les sections Autorisations Globales et Intégré, cochez les cases pour chaque autorisation que vous souhaitez que l’utilisateur ait. Si vous avez créé des rôles à partir de la page Modèles de Rôle, ils apparaîtront dans la section Personnalisée et vous pourrez également choisir parmi eux.
Cliquez sur Enregistrer.

Résultat : Les autorisations globales de l’utilisateur ont été mises à jour.

Configuration des Autorisations Globales pour les Groupes

Si vous avez un groupe d’individus qui ont besoin du même niveau d’accès dans Rancher, il peut être utile d’attribuer des autorisations à l’ensemble du groupe en une seule fois, afin que les utilisateurs du groupe aient le niveau d’accès approprié dès leur première connexion à Rancher.

Après avoir attribué un rôle global personnalisé à un groupe, le rôle global personnalisé sera attribué à un utilisateur du groupe lorsqu’il se connectera à Rancher.

Pour les utilisateurs existants, les nouvelles autorisations prendront effet lorsque les utilisateurs se déconnecteront de Rancher et se reconnecteront, ou lorsqu’un administrateur rafraîchit les membres du groupe.

Pour les nouveaux utilisateurs, les nouvelles autorisations prennent effet lorsque les utilisateurs se connectent à Rancher pour la première fois. Les nouveaux utilisateurs de ce groupe recevront les autorisations du rôle global personnalisé en plus des autorisations globales Par défaut Nouvel Utilisateur. Par défaut, les autorisations Par défaut Nouvel Utilisateur sont équivalentes au rôle global Utilisateur standard, mais les autorisations par défaut peuvent être configurées.

Si un utilisateur est retiré du groupe du fournisseur d’authentification externe, il perdra ses autorisations du rôle global personnalisé qui a été attribué au groupe. Il continuera à avoir les rôles restants qui lui ont été attribués, ce qui inclut généralement les rôles marqués comme Par défaut Nouvel Utilisateur. Rancher supprimera les autorisations associées au groupe lorsque l’utilisateur se déconnectera, ou lorsqu’un administrateur rafraîchit les membres du groupe, selon ce qui se produit en premier.

Conditions préalables :

Vous ne pouvez attribuer un rôle global à un groupe que si :

Vous avez configuré un fournisseur d’authentification externe
Le fournisseur d’authentification externe prend en charge groupes d’utilisateurs
Vous avez déjà configuré au moins un groupe d’utilisateurs avec le fournisseur d’authentification

Pour attribuer un rôle global personnalisé à un groupe, suivez ces étapes :

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Groupes.
Allez dans le groupe auquel vous souhaitez attribuer un rôle global personnalisé et cliquez sur ⋮ > Modifier la Configuration.
Dans les sections Permissions globales, Personnalisée, et/ou Intégré, sélectionnez les permissions que le groupe devrait avoir.
Cliquez sur Create.

Résultat : Le rôle global personnalisé prendra effet lorsque les utilisateurs du groupe se connecteront à Rancher.

Rafraîchir les membres du groupe

Lorsqu’un administrateur met à jour les permissions globales pour un groupe, les changements prennent effet pour les membres individuels du groupe après qu’ils se soient déconnectés de Rancher et se soient reconnectés.

Pour que les changements prennent effet immédiatement, un administrateur ou un propriétaire de cluster peut rafraîchir les membres du groupe.

Un administrateur peut également vouloir rafraîchir les membres du groupe si un utilisateur est retiré d’un groupe dans le service d’authentification externe. Dans ce cas, le rafraîchissement permet à Rancher de savoir que l’utilisateur a été retiré du groupe.

Pour rafraîchir les membres du groupe,

Dans le coin supérieur gauche, cliquez sur ☰ > Utilisateurs et Authentification.
Dans la barre de navigation à gauche, cliquez sur Utilisateurs.
Cliquez sur Rafraîchir les membres du groupe.

Résultat : Tous les changements apportés aux permissions des membres du groupe prendront effet.