Ce document a été traduit à l'aide d'une technologie de traduction automatique. Bien que nous nous efforcions de fournir des traductions exactes, nous ne fournissons aucune garantie quant à l'exhaustivité, l'exactitude ou la fiabilité du contenu traduit. En cas de divergence, la version originale anglaise prévaut et fait foi.

Contrôle d’accès en fonction du rôle

Cette section décrit les autorisations requises pour utiliser l’application rancher-compliance.

Le rancher-compliance est une fonctionnalité réservée aux administrateurs de cluster par défaut.

Cependant, le rancher-compliance chart installe ces deux ClusterRoles par défaut :

compliance-admin
compliance-view

Dans Rancher, seuls les propriétaires de cluster et les administrateurs globaux ont compliance-admin accès par défaut.

Accès Cluster-Admin

Les scans de conformité Rancher sont une fonctionnalité réservée aux administrateurs de cluster par défaut. Cela signifie que seuls les administrateurs globaux de Rancher et le propriétaire du cluster peuvent :

Installer/Désinstaller l’application rancher-compliance
Voir les liens de navigation pour les CRDs de conformité - ClusterScanBenchmarks, ClusterScanProfiles, ClusterScans
Lister les ClusterScanBenchmarks et ClusterScanProfiles par défaut
Créer/Modifier/Supprimer de nouveaux ClusterScanProfiles
Créer/Modifier/Supprimer un nouveau ClusterScan pour exécuter le scan de conformité sur le cluster
Voir et télécharger le ClusterScanReport créé après la fin du ClusterScan

Résumé des autorisations par défaut pour les rôles par défaut de Kubernetes

Le rancher-compliance crée trois ClusterRoles et ajoute l’accès au CRD de Benchmark de conformité aux K8s ClusterRoles par défaut :

ClusterRole créé par le chart ClusterRole K8s par défaut Permissions accordées avec le rôle

ClusterRole créé par le chart	ClusterRole K8s par défaut	Permissions accordées avec le rôle
`compliance-admin`	`admin`	Capacité à CRUD clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR
`compliance-view`	`view `	Capacité à lister® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR

compliance-admin

admin

Capacité à CRUD clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR

compliance-view

`view `

Capacité à lister® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR

Par défaut, seul le rôle de propriétaire de cluster aura la capacité de gérer et d’utiliser la fonctionnalité rancher-compliance.

Les autres rôles Rancher (membre de cluster, propriétaire de projet, membre de projet) n’ont aucune autorisation par défaut pour gérer et utiliser les ressources de conformité Rancher.

Mais si un propriétaire de cluster souhaite déléguer l’accès à d’autres utilisateurs, il peut le faire en créant des ClusterRoleBindings entre ces utilisateurs et les ClusterRoles de conformité ci-dessus manuellement. Aucune agrégation automatique de rôle n’est prise en charge pour les rancher-compliance ClusterRoles.