Описание ролей
При создании клиентского кластера с использованием Платформы «Штурвал» в нем (кластере) автоматически создаются роли, которые условно разделены по трем группам: Dev, Sec, Ops. Разделение обусловлено наиболее часто решаемыми задачами со стороны разработки (Dev), информационной безопасности (Sec) и эксплуатации (Ops).
Это вовсе не означает, что специалисту по информационной разработке нельзя назначить роль Dev и наоборот. Все зависит от решаемых задач.
DEV
| Название | Системное наименование | Назначение | Возможности |
|---|---|---|---|
| Dev: Basic | dev-basic | Разработка: общие возможности | Обладает правами на чтение (Read) на все ресурсы, которые могут быть использованы при развертывании приложения в определенном неймспейсе. Исключение составляют secrets, роли, назначение ролей, информация об ИБ-проверках и networkpolicies. Не обладает доступом к подресурсам (например, pods/logs, pods/exec и т.д.). |
| Dev: Debugger | dev-debugger | Разработка: Поиск ошибок (экстренный) | Обладает доступом к pods/exec и pods/portforward. |
| Dev: Deployer | dev-deployer | Разработка: Разворачивание приложения | Является расширением роли Dev:Basic. Помимо прав на чтение (Read) добавляются права на создание (Create), изменение (Update) и удаление (Delete) ресурсов. Не обладает доступом к подресурсам (например, pods/logs, pods/exec и т.д.). |
| Clusterdirectaccess | Clusterdirectaccess | Доступ к скачиванию кубконфига | Вспомогательная роль, которая открывает возможность скачивания кубконфига кластера пользователям, роли которых не имеют к нему доступа. Например, неймспейсные роли. |
Обратите внимание, что одна только роль Clusterdirectaccess не дает прав в кубконфиге, только возможность его скачивания. Чтобы дать возможность скачивания кубконфига с ограниченным набором прав, назначьте необходимые роли и дополнительно назначьте Clusterdirectaccess. Clusterdirectaccess - роль уровня кластер. Перейдите в Кластеры/Название кластера/Управление доступом. Создайте пользователя или группу. Имя пользователя или группы соответствуют имени пользователя или группы в вашем катологе, выбранном при интеграции с LDAP. Назначьте роль Clusterdirectaccess.
Далее этого же пользователя/группу необходимо создать в неймспейсе или нескольких неймспейсах этого кластера. Для этого необходимо перейти в Неймспейсы/Название неймспейса/Управление доступом. Добавить пользователя/группу пользователя с тем же именем. Так пользователь или все пользователи, входящие в каталоге в группу (при назначении роли на группу) будут иметь возможность скачивания кубконфига кластера, в котором будут доступны только доступные им ресурсы.
Т.к. неймспейс является кластерным ресурсом, то при обращении в cli с таким кубконфигом пользователь не сможет получить список неймспейсов, однако сведения о доступном неймспейсе и его ресурсах будут доступны.
SEC
| Название | Системное наименование | Назначение | Возможности |
|---|---|---|---|
| Sec: SecurityReport | sec-security-report | ИБ: отчеты по ИБ | Права на чтение (Read) для policyreports, clusterpolicyreports, генерируемых Kyverno и для отчетов об уязвимостях, генерируемых Trivy-Operator в пределах интересующего неймспейса. |
| Sec: PlatformAuditor Limited | sec-platform-audit | ИБ: Аудит основных объектов платформы и кластеров | Имеет доступ на просмотр всех страниц на уровне всех кластеров, кроме secrets, “Конфигурация узлов” (NCI), “Установленные системные сервисы” (SSC). |
| Sec: PlatformAuditor Full | sec-platform-audit-full | ИБ: Аудит всех объектов платформы и кластеров | Имеет доступ на просмотр всех страниц на уровне всех кластеров. |
| Sec: ClusterAuditor Limited | sec-cluster-audit | ИБ: Аудит основных объектов кластера | Имеет доступ на просмотр всех страниц на уровне выбранного кластера, кроме secrets, “Конфигурация узлов” (NCI), “Установленные системные сервисы” (SSC). |
| Sec: ClusterAuditor Full | sec-cluster-audit-full | ИБ: Аудит всех объектов кластера | Имеет доступ на просмотр всех страниц на уровне выбранного кластера. |
OPS
| Название | Системное наименование | Назначение | Возможности |
|---|---|---|---|
| Ops: RoleManager | ops-role-manager | ИТ: управление ролями | Полный доступ (Create, Read, Update, Delete) к serviceaccounts, ролям и назначению ролей на уровне неймспейса. |
| Ops: NamespaceManager | ops-ns-manager | ИТ: управление неймспейсами | Ограниченный доступ (Create/Delete) к неймспейсам, полный доступ (Create, Read, Update, Delete) к квотами на уровне неймспейса. |
| Ops: CertificateIssuer | ops-certificate-issuer | ИТ: управление сертификатами | Ограниченный доступ (Create/Delete) к неймспейсам, полный доступ (Create, Read, Update, Delete) к квотам на уровне неймспейса. |
| NamespaceAdmin | namespace-admin | ИТ: администратор неймспейса | Полный доступ (Create, Read, Update, Delete) на все ресурсы неймспейса (в т.ч. issuers), за исключением других неймспейсов, ролей, назначения ролей, информации об ИБ-проверках и networkpolicies в определенном неймспейсе. |
| Role-binder | ns-role-binder | ИТ: управление ролями пользователей и групп | Полный доступ (Create, Read, Update, Delete) на userroles/grouproles в пределах неймспейса |
Системные роли
Роли, которые не создаются при помощи платформы «Штурвал», но которые можно и нужно использовать
| Название | Системное наименование | Назначение | Возможности |
|---|---|---|---|
| View | view | Просмотр ресурсов | Право просмотра объектов в пространствах имен пользователя. |
| Edit | edit | Изменение ресурсов | Доступ на чтение и изменение ко всем объектам конфигурации в пространствах имен пользователя за исключением квот |
| ClusterAdmin | cluster-admin | Управление кластерами | Полный доступ к кластеру и может настраивать все API-объекты в системном пространстве и в пользовательских пространствах имен. |
| PlatformAdmin | platform-admin | Развертывание платформы | ПОЛНЫЙ доступ (Create, Read, Update, Delete) ко ВСЕМ ресурсам платформы. |