Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Funções Personalizadas

Dentro do Rancher, funções determinam quais ações um usuário pode realizar dentro de um cluster ou projeto.

Observe que funções são diferentes de permissões, que determinam quais clusters e projetos você pode acessar.

É possível que uma função personalizada permita a escalada de privilégios. Para detalhes, consulte esta seção.

Pré-requisitos

Para completar as tarefas nesta página, uma das seguintes permissões é necessária:

Permissões Globais de Administrador.
Permissões Globais Personalizadas com a função Gerenciar Funções atribuída.

Criando uma Função Personalizada

Embora o Rancher venha com um conjunto de funções de usuário padrão, você também pode criar funções personalizadas padrão para fornecer aos usuários permissões muito específicas dentro do Rancher.

Os passos para adicionar funções personalizadas diferem dependendo da versão do Rancher.

No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.
Na barra de navegação à esquerda, clique em Modelos de Função.
Selecione uma aba para determinar o escopo da função que você está adicionando. As abas são:
- Global: A função é válida para permitir que membros gerenciem recursos com escopo global.
- Cluster: A função é válida para atribuição ao adicionar/gerenciar membros em clusters.
- Project/Namespaces: A função é válida para atribuição ao adicionar/gerenciar membros em projetos ou namespaces.
Clique em Criar Função Global, Criar Função de Cluster ou Criar Função de Projeto/Namespaces, dependendo do escopo.
Digite um Nome para a função.
Opcional: Escolha a opção Cluster/Project Creator Default para atribuir essa função a um usuário quando ele criar um novo cluster ou projeto. Usando este recurso, você pode expandir ou restringir as funções padrão para criadores de clusters/projetos.

Por padrão, as funções Cluster Creator Default e Project Creator Default são Cluster Owner e Project Owner, respectivamente.
Use as opções Grant Resources para atribuir Kubernetes API endpoints individuais à função.

Ao visualizar os recursos associados às funções padrão criadas pelo Rancher, se houver múltiplos recursos da API do Kubernetes em um item de linha, o recurso terá (Custom) anexado a ele. Estes não são recursos personalizados, mas apenas uma indicação de que há múltiplos recursos da API do Kubernetes como um único recurso.

O campo de texto Resource fornece um método para pesquisar recursos de API Kubernetes pré-definidos ou inserir um nome de recurso personalizado para a concessão. O recurso pré-definido ou (Custom) deve ser selecionado no menu suspenso, após inserir um nome de recurso neste campo.

Você também pode escolher os métodos cURL individuais (Create, Delete, Get, etc.) disponíveis para uso com cada endpoint que você atribuir.
Use as opções Inherit from para atribuir funções Rancher individuais às suas funções personalizadas. Nota: Quando uma função personalizada herda de uma função pai, a função pai não pode ser excluída até que a função filha seja excluída.
Clique em Criar.

Criando uma Função Personalizada que Herda de Outra Função

Se você tiver um grupo de indivíduos que precisam do mesmo nível de acesso no Rancher, pode economizar tempo criar uma função personalizada na qual todas as regras de outra função, como a função de administrador, são copiadas para uma nova função. Isso permite que você configure apenas as variações entre a função existente e a nova função.

A função personalizada pode então ser atribuída a um usuário ou grupo para que a função entre em vigor na primeira vez que o usuário ou usuários fizerem login no Rancher.

Para criar uma função personalizada com base em uma função existente,

No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.
Na barra de navegação à esquerda, clique em Modelos de Função.
Clique na aba Cluster ou Projeto/Namespaces. Clique em Criar Função de Cluster ou Criar Função de Projeto/Namespaces dependendo do escopo. Nota: Apenas funções de cluster e funções de projeto/namespace podem herdar de outra função.
Digite um nome para a função.
Na aba Inherit From, selecione a(s) função(ões) das quais a função personalizada herdará permissões.
Na aba Grant Resources, selecione as operações de recursos Kubernetes que serão habilitadas para usuários com a função personalizada.

O campo de texto Resource fornece um método para pesquisar recursos de API Kubernetes pré-definidos ou inserir um nome de recurso personalizado para a concessão. O recurso pré-definido ou (Custom) deve ser selecionado no menu suspenso, após inserir um nome de recurso neste campo.
Opcional: Atribua a função como padrão.
Clique em Criar.

Excluindo uma função personalizada

Ao excluir uma função personalizada, todas as associações de função global com essa função personalizada são excluídas.

Se um usuário tiver apenas uma função personalizada atribuída e a função for excluída, o usuário perderá o acesso ao Rancher. Para que o usuário recupere o acesso, um administrador precisaria editar o usuário e aplicar novas permissões globais.

Funções personalizadas podem ser excluídas, mas funções incorporadas não podem ser excluídas.

Para excluir uma função personalizada,

No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.
Na barra de navegação à esquerda, clique em Modelos de Função.
Vá até a função global personalizada que deve ser excluída e clique em ⋮ (…) > Excluir.
Clique em Excluir.

Atribuindo uma função personalizada a um grupo

Se você tem um grupo de indivíduos que precisam do mesmo nível de acesso no Rancher, pode economizar tempo criando uma função personalizada. Quando a função é atribuída a um grupo, os usuários do grupo têm o nível de acesso apropriado na primeira vez que fazem login no Rancher.

Quando um usuário do grupo faz login, ele recebe por padrão a função global incorporada de Usuário Padrão. Eles também receberão as permissões atribuídas aos seus grupos.

Se um usuário for removido do grupo do provedor de autenticação externa, ele perderá as permissões da função personalizada que foi atribuída ao grupo. Eles continuarão a ter sua função individual de Usuário Padrão.

Pré-requisitos:

Você só pode atribuir uma função global a um grupo se:

Você configurou um provedor de autenticação externa
O provedor de autenticação externa suporta grupos de usuários
Você já configurou pelo menos um grupo de usuários com o provedor de autenticação

Para atribuir uma função personalizada a um grupo, siga estas etapas:

No canto superior esquerdo, clique em ☰ > Usuários e Autenticação.
Na barra de navegação à esquerda, clique em Grupos.
Vá até o grupo existente que receberá a função personalizada e clique em ⋮ > Editar Configuração.
Se você criou funções, elas aparecerão na seção Personalizado. Escolha qualquer função personalizada que será atribuída ao grupo.
Opcional: Nas seções Permissões Globais ou Incorporado, selecione quaisquer permissões adicionais que o grupo deve ter.
Clique em Salvar..

Resultado: A função personalizada entrará em vigor quando os usuários do grupo fizerem login no Rancher.

Escalonamento de privilégios

A permissão personalizada Configure Catalogs é poderosa e deve ser usada com cautela. Quando um administrador atribui a permissão Configure Catalogs a um usuário padrão, isso pode resultar em escalonamento de privilégios, onde o usuário pode conceder a si mesmo acesso de administrador aos clusters provisionados pelo Rancher. Qualquer pessoa com essa permissão deve ser considerada equivalente a um administrador.