Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official.

Permissões globais

Users with permissions to modify accounts or resources are considered privileged users, only grant these permissions to trusted users.

Permissões são direitos de acesso individuais que você pode atribuir ao selecionar uma permissão personalizada para um usuário.

As Permissões Globais definem a autorização do usuário fora do escopo de qualquer cluster específico. Por padrão, existem quatro permissões globais padrão: Administrator, Standard User e User-base.

  • Administrador: Esses usuários têm controle total sobre todo o sistema Rancher e todos os clusters dentro dele.

  • Usuário Padrão: Esses usuários podem criar novos clusters e utilizá-los. Usuários padrão também podem atribuir permissões a outros usuários para seus clusters.

  • Base de Usuários: Usuários da Base de Usuários têm acesso apenas para login.

Você não pode atualizar ou excluir as Permissões Globais incorporadas.

Atribuição de Permissão Global

As permissões globais para usuários locais são atribuídas de forma diferente das permissões para usuários que fazem login no Rancher usando autenticação externa.

Permissões Globais para Novos Usuários Locais

Quando você cria um novo usuário local, você atribui a ele uma permissão global ao completar o formulário Adicionar Usuário.

Para ver as permissões padrão para novos usuários,

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função.

  3. A página Modelos de Função possui abas para funções agrupadas por escopo. Cada tabela lista as funções nesse escopo. Na aba Global, na coluna Padrão de Novo Usuário, as permissões dadas a novos usuários por padrão são indicadas com uma marca de seleção.

Você pode alterar as permissões globais padrão para atender às suas necessidades.

Permissões Globais para Usuários com Autenticação Externa

Quando um usuário faz login no Rancher usando um provedor de autenticação externa pela primeira vez, as permissões globais Padrão de Novo Usuário são atribuídas automaticamente. Por padrão, o Rancher atribui a permissão Usuário Padrão para novos usuários.

Para ver as permissões padrão para novos usuários,

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função.

  3. A página Modelos de Função possui abas para funções agrupadas por escopo. Cada tabela lista as funções nesse escopo. Na coluna Padrão de Novo Usuário em cada página, as permissões dadas a novos usuários por padrão são indicadas com uma marca de seleção.

Você pode alterar as permissões padrão para atender às suas necessidades.

As permissões podem ser atribuídas a um usuário individual.

Você pode atribuir uma função a todos no grupo ao mesmo tempo se o provedor de autenticação externa suportar grupos.

Permissões Globais Personalizadas

Usar permissões personalizadas é conveniente para fornecer aos usuários acesso restrito ou especializado ao Rancher.

Quando um usuário de uma fonte de autenticação externa faz login no Rancher pela primeira vez, ele é automaticamente atribuído um conjunto de permissões globais (daqui em diante, permissões). Por padrão, após um usuário fazer login pela primeira vez, ele é criado como usuário e recebe a permissão padrão user. A permissão padrão user permite que os usuários façam login e criem clusters.

No entanto, em algumas organizações, essas permissões podem conceder acesso excessivo. Em vez de atribuir aos usuários as permissões globais padrão de Administrator ou Standard User, você pode atribuir a eles um conjunto mais restritivo de permissões globais personalizadas.

Os papéis padrão, Administrador e Usuário Padrão, vêm com várias permissões globais incorporadas. O papel de Administrador inclui todas as permissões globais, enquanto o papel de usuário padrão inclui três permissões globais: Criar Clusters, Usar Modelos de Catálogo e Base de Usuários, que é equivalente à permissão mínima para fazer login no Rancher. Em outras palavras, as permissões globais personalizadas são modularizadas para que, se você quiser alterar as permissões do papel de usuário padrão, possa escolher qual subconjunto de permissões globais será incluído no novo papel de usuário padrão.

Os administradores podem impor permissões globais personalizadas de várias maneiras:

Combinando GlobalRoles Incorporados

O Rancher fornece vários Papéis Globais que concedem permissões granulares para certos casos de uso comuns. A tabela a seguir lista cada permissão global incorporada e se ela está incluída nas permissões globais padrão, Administrator, Standard User e User-Base.

Permissão Global Personalizada Administrador Usuário Padrão Base de Usuários

Criar Clusters

Criar Modelos RKE

Gerenciar Autenticação

Gerenciar Catálogos

Gerenciar Drivers de Cluster

Gerenciar Drivers de Nó

Gerenciar Modelos de PodSecurityPolicy

Gerenciar Funções

Gerenciar Configurações

Gerenciar Usuários

Usar Modelos de Catálogo

Base de Usuários (Acesso básico de login)

Para detalhes sobre quais recursos do Kubernetes correspondem a cada permissão global,

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função.

  3. Se você clicar no nome de um papel individual, uma tabela mostrará todas as operações e recursos que são permitidos pelo papel.

Notas:

  • Cada permissão listada acima é composta por várias permissões individuais não listadas na interface do Rancher. Para uma lista completa dessas permissões e as regras que as compõem, acesse através da API em /v3/globalRoles.

  • Ao visualizar os recursos associados a papéis padrão criados pelo Rancher, se houver múltiplos recursos da API do Kubernetes em um item de linha, o recurso terá (Custom) anexado a ele. Estes não são recursos personalizados, mas apenas uma indicação de que há múltiplos recursos da API do Kubernetes como um único recurso.

O GlobalRole incorporado Manage Users permite que os usuários criem, modifiquem e excluam outros usuários dentro do ambiente do Rancher. Embora essa permissão possa ser necessária para fluxos de trabalho administrativos em ambientes confiáveis, concedê-la a usuários não confiáveis ou de menor privilégio, como usuários padrão, representa um sério risco de segurança e pode resultar em elevação de privilégios.

Custom GlobalRoles

Você pode criar GlobalRoles personalizados para atender a casos de uso não abordados diretamente pelos GlobalRoles incorporados.

Crie GlobalRoles personalizados através da interface ou por meio de automação (como a API do Rancher Kubernetes). Você pode especificar o mesmo tipo de regras que as regras para papéis upstream e clusterRoles.

Veja a lista Recursos Globais para recursos relevantes.

Verbos de Escalar e Vincular

Ao conceder permissões em GlobalRoles, tenha em mente que o Rancher respeita os verbos escalate e bind, de forma semelhante a Kubernetes.

Ambos os verbos, que são fornecidos no recurso GlobalRoles, podem conceder aos usuários a permissão para contornar as verificações de escalonamento de privilégios do Rancher. Isso potencialmente permite que os usuários se tornem administradores. Como isso representa um sério risco de segurança, bind e escalate devem ser distribuídos aos usuários com grande cautela.

O verbo escalate permite que os usuários mudem um GlobalRole e adicionem qualquer permissão, mesmo que os usuários não tenham as permissões no GlobalRole atual ou na nova versão do GlobalRole.

O verbo bind permite que os usuários criem um GlobalRoleBinding para o GlobalRole especificado, mesmo que não tenham as permissões no GlobalRole.

O verbo curinga também inclui os verbos bind e escalate. Isso significa que conceder em GlobalRoles a um usuário também lhes concede escalate e bind.
Exemplos de GlobalRole Personalizados

Para conceder permissão para escalar apenas o GlobalRole test-gr:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'escalate'

Para conceder permissão para escalar todos os GlobalRoles:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - 'escalate'

Para conceder permissão para criar bindings (que contornam as verificações de escalonamento) apenas para o GlobalRole test-gr:

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  resourceNames:
  - 'test-gr'
  verbs:
  - 'bind'
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalrolebindings'
  verbs:
  - 'create'

Concedendo permissões * (que incluem tanto escalate quanto bind):

rules:
- apiGroups:
  - 'management.cattle.io'
  resources:
  - 'globalroles'
  verbs:
  - '*'

Permissões de GlobalRole em Clusters Descendentes

GlobalRoles podem conceder um ou mais RoleTemplates em cada cluster descendente através do campo inheritedClusterRoles. Os valores neste campo devem se referir a um RoleTemplate que existe e possui um context de Cluster.

Com este campo, os usuários ganham as permissões especificadas em todos os clusters descendentes atuais ou futuros. Por exemplo, considere o seguinte GlobalRole:

apiVersion: management.cattle.io/v3
kind: GlobalRole
displayName: All Downstream Owner
metadata:
  name: all-downstream-owner
inheritedClusterRoles:
- cluster-owner

Qualquer usuário com essa permissão será proprietário de cluster em todos os clusters descendentes. Se um novo cluster for adicionado, independentemente do tipo, o usuário também será um proprietário desse cluster.

Usar este campo em default GlobalRoles pode resultar em usuários adquirindo permissões excessivas.

Configurando Permissões Globais Padrão

Se você deseja restringir as permissões padrão para novos usuários, pode remover a permissão user como função padrão e, em seguida, atribuir várias permissões individuais como padrão. Por outro lado, você também pode adicionar permissões administrativas além de um conjunto de outras permissões padrão.

As funções padrão são atribuídas apenas a usuários adicionados de um provedor de autenticação externo. Para usuários locais, você deve atribuir explicitamente permissões globais ao adicionar um usuário ao Rancher. Você pode personalizar essas permissões globais ao adicionar o usuário.

Para alterar as permissões globais padrão que são atribuídas a usuários externos na primeira vez que fazem login, siga estas etapas:

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Modelos de Função. Na página Modelos de Função, certifique-se de que a aba Global esteja selecionada.

  3. Encontre o conjunto de permissões que você deseja adicionar ou remover como padrão. Em seguida, edite a permissão selecionando ⋮ > Editar Configuração.

  4. Se você deseja adicionar a permissão como padrão, selecione Sim: Função padrão para novos usuários e clique em Salvar. Se você deseja remover uma permissão padrão, edite a permissão e selecione Não.

Resultado: As permissões globais padrão são configuradas com base nas suas alterações. As permissões atribuídas a novos usuários exibem uma marca de seleção na coluna Novo Usuário Padrão.

Configurando Permissões Globais para Usuários Individuais

Para configurar a permissão de um usuário,

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Usuários.

  3. Vá até o usuário cujo nível de acesso você deseja alterar e clique em ⋮ > Editar Configuração.

  4. Nas seções Permissões Globais e Incorporado, marque as caixas para cada permissão que você deseja que o usuário tenha. Se você criou funções a partir da página Modelos de Função, elas aparecerão na seção Personalizado e você também poderá escolher entre elas.

  5. Clique em Salvar.

Resultado: As permissões globais do usuário foram atualizadas.

Configurando Permissões Globais para Grupos

Se você tem um grupo de indivíduos que precisam do mesmo nível de acesso no Rancher, pode economizar tempo atribuindo permissões a todo o grupo de uma vez, para que os usuários do grupo tenham o nível de acesso apropriado na primeira vez que fizerem login no Rancher.

Após atribuir uma função global personalizada a um grupo, a função global personalizada será atribuída a um usuário do grupo quando ele fizer login no Rancher.

Para usuários existentes, as novas permissões entrarão em vigor quando os usuários saírem do Rancher e voltarem a entrar, ou quando um administrador atualizar os membros do grupo.

Para novos usuários, as novas permissões entram em vigor quando os usuários fazem login no Rancher pela primeira vez. Novos usuários deste grupo receberão as permissões da função global personalizada além das permissões globais Padrão de Novo Usuário. Por padrão, as permissões Padrão de Novo Usuário são equivalentes à função global Usuário Padrão, mas as permissões padrão podem ser configuradas.

Se um usuário for removido do grupo do provedor de autenticação externa, ele perderá as permissões da função global personalizada que foram atribuídas ao grupo. O usuário continuará a ter quaisquer funções restantes que lhe foram atribuídas, que normalmente incluem as funções marcadas como Padrão de Novo Usuário. O Rancher removerá as permissões associadas ao grupo quando o usuário sair, ou quando um administrador atualizar os membros do grupo, o que ocorrer primeiro.

Pré-requisitos:

Você só pode atribuir uma função global a um grupo se:

Para atribuir uma função global personalizada a um grupo, siga estas etapas:

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Grupos.

  3. Vá para o grupo ao qual você deseja atribuir uma função global personalizada e clique em ⋮ > Editar Configuração.

  4. Nas seções Permissões Globais, Personalizado, e/ou Incorporado, selecione as permissões que o grupo deve ter.

  5. Clique em Criar.

Resultado: A função global personalizada entrará em vigor quando os usuários do grupo fizerem login no Rancher.

Atualizando Membros do Grupo

Quando um administrador atualiza as permissões globais para um grupo, as mudanças entram em vigor para os membros individuais do grupo após eles saírem do Rancher e entrarem novamente.

Para que as mudanças entrem em vigor imediatamente, um administrador ou proprietário do cluster pode atualizar os membros do grupo.

Um administrador também pode querer atualizar os membros do grupo se um usuário for removido de um grupo no serviço de autenticação externa. Nesse caso, a atualização faz com que o Rancher saiba que o usuário foi removido do grupo.

Para atualizar os membros do grupo,

  1. No canto superior esquerdo, clique em ☰ > Usuários & Autenticação.

  2. Na barra de navegação à esquerda, clique em Usuários.

  3. Clique em Atualizar Membros do Grupo.

Resultado: Quaisquer mudanças nas permissões dos membros do grupo entrarão em vigor.