この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。

カスタム役割

Rancher内では、_ロール_がクラスターやプロジェクト内でユーザーが行えるアクションを決定します。

_ロール_は、アクセスできるクラスターやプロジェクトを決定する_権限_とは異なることに注意してください。

カスタムロールによって特権の昇格が可能になることがあります。詳細については、このセクションを参照してください。

前提条件

このページのタスクを完了するには、以下のいずれかの権限が必要です:

カスタムロールの作成

Rancherにはデフォルトのユーザーロールのセットが付属していますが、ユーザーに非常に特定の権限を提供するためにデフォルトのカスタムロールを作成することもできます。

カスタムロールを追加する手順は、Rancherのバージョンによって異なります。

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左側のナビゲーションバーで、*ロールテンプレート*をクリックします。

  3. 追加するロールの範囲を決定するためにタブを選択します。タブは次のとおりです:

    • *Global:*このロールは、メンバーがグローバルスコープのリソースを管理することを許可するために有効です。

    • *[Cluster:*このロールは、クラスターへのメンバーの追加/管理時に割り当てることができます。

    • *プロジェクト/ネームスペース:*このロールは、プロジェクトやネームスペースへのメンバーの追加/管理時に割り当てることができます。

  4. グローバルロールを作成クラスターロールを作成、または*プロジェクト/ネームスペースロールを作成*を、スコープに応じてクリックします。

  5. *名前*を入力してください。

  6. オプション:新しいクラスターまたはプロジェクトを作成する際に、このロールをユーザーに割り当てるには、*クラスター/プロジェクト作成者デフォルト*オプションを選択してください。この機能を使用すると、クラスター/プロジェクト作成者のデフォルトロールを拡張または制限できます。

    デフォルトでは、クラスター作成者デフォルトとプロジェクト作成者デフォルトのロールはそれぞれ`Cluster Owner`と`Project Owner`です。

  7. *リソースを付与する*オプションを使用して、ロールに個別の Kubernetes API エンドポイントを割り当てます。

    Rancher によって作成されたデフォルトロールに関連付けられたリソースを表示する際、1 行の項目に複数の Kubernetes API リソースがある場合、そのリソースには`(Custom)`が追加されます。これらはカスタムリソースではなく、1 つのリソースとして複数の Kubernetes API リソースが存在することを示すものです。

    リソーステキストフィールドは、事前定義された Kubernetes API リソースを検索する方法を提供するか、付与のためにカスタムリソース名を入力します。このフィールドにリソース名を入力した後、事前定義されたまたは`(Custom)`リソースをドロップダウンから選択する必要があります。

    各エンドポイントに割り当てるために使用できる個別の cURL メソッド(CreateDeleteGet など)を選択することもできます。

  8. *継承元*オプションを使用して、カスタムロールに個別の Rancher ロールを割り当てます。注意:カスタムロールが親ロールから継承されると、子ロールが削除されるまで親ロールを削除することはできません。

  9. 作成]をクリックします。

別のロールから継承するカスタムロールの作成

Rancher で同じレベルのアクセスが必要な個人のグループがある場合、管理者ロールなどの別のロールからすべてのルールを新しいロールにコピーするカスタムロールを作成することで、時間を節約できます。これにより、既存のロールと新しいロールの間のバリエーションのみを構成できます。

その後、カスタムロールをユーザーまたはグループに割り当てることで、ユーザーが Rancher に初回サインインした際にロールが有効になります。

既存のロールに基づいてカスタムロールを作成するには、

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左側のナビゲーションバーで、*ロールテンプレート*をクリックします。

  3. *クラスター*または*プロジェクト/ネームスペース*タブをクリックします。スコープに応じて、*クラスター ロールを作成*または*プロジェクト/ネームスペースロールを作成*をクリックします。注意:クラスターロールとプロジェクト/ネームスペースロールのみが他のロールから継承できます。

  4. ロールの名前を入力します。

  5. *継承元*タブで、カスタムロールが権限を継承するロールを選択します。

  6. *リソースの付与*タブで、カスタムロールを持つユーザーに対して有効にするKubernetesリソース操作を選択します。

    リソーステキストフィールドは、事前定義された Kubernetes API リソースを検索する方法を提供するか、付与のためにカスタムリソース名を入力します。このフィールドにリソース名を入力した後、事前定義されたまたは`(Custom)`リソースをドロップダウンから選択する必要があります。

  7. オプション:役割をデフォルトとして割り当てます。

  8. 作成]をクリックします。

カスタムロールの削除

カスタムロールを削除すると、このカスタムロールを持つすべてのグローバル役割バインディングが削除されます。

ユーザーにカスタムロールが1つだけ割り当てられている場合、そのロールが削除されると、ユーザーは Rancher へのアクセスを失います。ユーザーがアクセスを再取得するには、管理者がユーザーを編集し、新しいグローバル権限を適用する必要があります。

カスタムロールは削除できますが、ビルトインロールは削除できません。

カスタムロールを削除するには、

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左側のナビゲーションバーで、*ロールテンプレート*をクリックします。

  3. 削除すべきカスタムグローバルロールに移動し、*⋮ (…​) > 削除*をクリックします。

  4. *削除*をクリックします。

グループにカスタムロールを割り当てる

Rancherで同じレベルのアクセスが必要な個人のグループがある場合、カスタムロールを作成することで時間を節約できます。役割がグループに割り当てられると、グループ内のユーザーはRancherに初めてサインインする際に適切なレベルのアクセスを得ます。

グループ内のユーザーがログインすると、デフォルトでビルトインの標準ユーザーロールが付与されます。また、彼らは自分のグループに割り当てられた権限も得ます。

ユーザーが外部認証プロバイダーグループから削除されると、グループに割り当てられたカスタムロールからの権限を失います。彼らは個別の標準ユーザーロールを持ち続けます。

前提条件:

グループにグローバル役割を割り当てることができるのは、次の条件を満たす場合のみです。

  • xref:rancher-admin/users/authn-and-authz/authn-and-authz.adoc外部認証プロバイダーを設定しました。

  • 外部認証プロバイダーはxref:rancher-admin/users/authn-and-authz/manage-users-and-groups.adocユーザーグループをサポートしています。

  • 認証プロバイダーで少なくとも1つのユーザーグループをすでに設定しています。

グループにカスタムロールを割り当てるには、次の手順に従ってください:

  1. 左上隅で、*☰ > ユーザーと認証*をクリックします。

  2. 左のナビゲーションバーで*グループ*をクリックします。

  3. カスタムロールが割り当てられる既存のグループに移動し、*⋮ > 設定を編集*をクリックします。

  4. ロールを作成している場合、それらは*カスタム*セクションに表示されます。グループに割り当てる任意のカスタムロールを選択してください。

  5. オプション:*グローバル権限*または*ビルトイン*セクションで、グループが持つべき追加の権限を選択します。

  6. *保存*をクリックします。

*結果:*カスタムロールは、グループのユーザーがRancherにログインしたときに有効になります。

特権昇格

`Configure Catalogs`カスタム権限は強力であり、注意して使用する必要があります。管理者が標準ユーザーに`Configure Catalogs`権限を割り当てると、ユーザーがRancherによってプロビジョニングされたクラスターに管理者アクセスを与える特権昇格が発生する可能性があります。この権限を持つ者は、管理者と同等と見なされるべきです。