|
この文書は自動機械翻訳技術を使用して翻訳されています。 正確な翻訳を提供するように努めておりますが、翻訳された内容の完全性、正確性、信頼性については一切保証いたしません。 相違がある場合は、元の英語版 英語 が優先され、正式なテキストとなります。 |
ロールベースのアクセス制御
このセクションでは、rancher-complianceアプリを使用するために必要な権限について説明します。
rancher-complianceは、デフォルトではクラスター管理者専用の機能です。
ただし、rancher-compliance チャートはこれらの2つのデフォルト ClusterRoles をインストールします:
-
compliance-admin
-
compliance-view
Rancherでは、デフォルトでクラスターの所有者とグローバル管理者のみが`compliance-admin`アクセスを持っています。
クラスター管理者アクセス
Rancher Compliance Scansは、デフォルトではクラスター管理者専用の機能です。 これは、Rancherのグローバル管理者とクラスター所有者のみが次のことを行えることを意味します:
-
rancher-complianceアプリをインストール/アンインストールする
-
Compliance CRDのナビゲーションリンクを表示する - ClusterScanBenchmarks、ClusterScanProfiles、ClusterScans
-
デフォルトのClusterScanBenchmarksおよびClusterScanProfilesを一覧表示する
-
新しいClusterScanProfilesを作成/編集/削除する
-
クラスターでComplianceスキャンを実行するための新しいClusterScanを作成/編集/削除する
-
ClusterScanが完了した後に作成されたClusterScanReportを表示およびダウンロードする
Kubernetesのデフォルトロールに対するデフォルト権限の概要
rancher-complianceは3つの`ClusterRoles`を作成し、次のデフォルトのK8s `ClusterRoles`にCompliance Benchmark CRDアクセスを追加します:
| チャートによって作成されたClusterRole | デフォルトのK8s ClusterRole | ロールに付与された権限 |
|---|---|---|
|
|
clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CRのCRUD機能 |
|
`表示 ` |
® clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CRをリストする機能 |
デフォルトでは、クラスターオーナーの役割のみが rancher-compliance 機能を管理および使用する権限を持ちます。
他の Rancher の役割(クラスター メンバー、プロジェクト オーナー、プロジェクト メンバー)には、rancher-compliance リソースを管理および使用するためのデフォルトの権限はありません。
ただし、クラスターオーナーが他のユーザーにアクセスを委任したい場合は、これらのユーザーと上記のコンプライアンス クラスター ロールとの間に ClusterRoleBindings を手動で作成することで可能です。
rancher-compliance クラスター ロールに対して自動的なロール集約はサポートされていません。