|
本文档采用自动化机器翻译技术翻译。 尽管我们力求提供准确的译文,但不对翻译内容的完整性、准确性或可靠性作出任何保证。 若出现任何内容不一致情况,请以原始 英文 版本为准,且原始英文版本为权威文本。 |
基于角色的访问控制
本节描述了使用 rancher-compliance APP 所需的权限。
默认情况下,rancher-compliance 是仅限集群管理员的功能。
然而,rancher-compliance 图表安装了这两个默认的 ClusterRoles:
-
compliance-admin
-
合规性查看者
在 Rancher 中,默认情况下,只有集群所有者和全球管理员具有 compliance-admin 访问权限。
集群管理员访问权限
Rancher 合规性扫描默认情况下是仅限集群管理员的功能。 这意味着只有 Rancher 全球管理员和集群的集群所有者可以:
-
安装/卸载 rancher-compliance APP
-
查看合规性 CRD 的导航链接 - ClusterScanBenchmarks、ClusterScanProfiles、ClusterScans
-
列出默认的 ClusterScanBenchmarks 和 ClusterScanProfiles
-
创建/编辑/删除新的 ClusterScanProfiles
-
创建/编辑/删除新的 ClusterScan 以在集群上运行合规性扫描
-
查看和下载在 ClusterScan 完成后生成的 ClusterScanReport
Kubernetes 默认角色的默认权限摘要
rancher-compliance 创建三个 ClusterRoles 并将合规基准 CRD 访问权限添加到以下默认 K8s ClusterRoles:
| 图表创建的 ClusterRole | 默认 K8s ClusterRole | 通过角色授予的权限 |
|---|---|---|
|
|
能够对clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports进行CRUD操作 |
|
`查看 ` |
能够列出® clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports |
默认情况下,只有集群所有者角色可以管理和使用`rancher-compliance`功能。
其他Rancher角色(集群成员、项目所有者、项目成员)没有管理和使用rancher-compliance资源的默认权限。
但是,如果集群所有者想要将访问权限委托给其他用户,他们可以通过手动创建这些用户与上述合规集群角色之间的ClusterRoleBindings来实现。 不支持`rancher-compliance` ClusterRoles的自动角色聚合。