|
Este documento foi traduzido usando tecnologia de tradução automática de máquina. Sempre trabalhamos para apresentar traduções precisas, mas não oferecemos nenhuma garantia em relação à integridade, precisão ou confiabilidade do conteúdo traduzido. Em caso de qualquer discrepância, a versão original em inglês prevalecerá e constituirá o texto official. |
Controle de acesso com base em função
Esta seção descreve as permissões necessárias para usar o app rancher-compliance.
O rancher-compliance é um recurso exclusivo para administradores de cluster por padrão.
No entanto, o gráfico rancher-compliance instala esses dois ClusterRoles padrão:
-
compliance-admin
-
compliance-view
No Rancher, apenas os proprietários de cluster e os administradores globais têm acesso compliance-admin por padrão.
Acesso de Administrador de Cluster
Rancher Compliance Scans é uma funcionalidade exclusiva para administradores de cluster por padrão. Isso significa que apenas os administradores globais do Rancher e o proprietário do cluster podem:
-
Instalar/Desinstalar o app rancher-compliance
-
Ver os links de navegação para CRDs de Compliance - ClusterScanBenchmarks, ClusterScanProfiles, ClusterScans
-
Listar os ClusterScanBenchmarks e ClusterScanProfiles padrão
-
Criar/Editar/Excluir novos ClusterScanProfiles
-
Criar/Editar/Excluir um novo ClusterScan para executar a varredura de Compliance no cluster
-
Visualizar e Baixar o ClusterScanReport criado após a conclusão do ClusterScan
Resumo das Permissões Padrão para Funções Padrão do Kubernetes
O rancher-compliance cria três ClusterRoles e adiciona o acesso ao Compliance Benchmark CRD aos seguintes K8s ClusterRoles padrão:
| ClusterRole criado pelo gráfico | ClusterRole Padrão do K8s | Permissões concedidas com a função |
|---|---|---|
|
|
Capacidade de CRUD clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR |
|
`ver ` |
Capacidade de Listar® clusterscanbenchmarks, clusterscanprofiles, clusterscans, clusterscanreports CR |
Por padrão, apenas a função de proprietário do cluster terá a capacidade de gerenciar e usar o recurso rancher-compliance.
As outras funções do Rancher (membro do cluster, proprietário do projeto, membro do projeto) não têm permissões padrão para gerenciar e usar recursos do rancher-compliance.
Mas se um proprietário de cluster quiser delegar acesso a outros usuários, ele pode fazê-lo criando ClusterRoleBindings entre esses usuários e os acima mencionados Compliance ClusterRoles manualmente.
Não há agregação automática de funções suportada para os rancher-compliance ClusterRoles.