Описание ролей
При создании клиентского кластера с использованием Платформы «Штурвал» в нем (кластере) автоматически создаются роли, которые условно разделены по трем группам: Dev, Sec, Ops. Разделение обусловлено наиболее часто решаемыми задачами со стороны разработки (Dev), информационной безопасности (Sec) и эксплуатации (Ops).
Это вовсе не означает, что специалисту по информационной безопасности нельзя назначить роль Dev и наоборот. Все зависит от решаемых задач.
- Скоуп “Платформа” определяет доступ к кластеру управления и всем клиентским кластерам.
- Скоуп “Кластер” определяет доступ к конкретному клиентскому кластеру и всем вложенным объектам.
- Скоуп “Неймспейс” определяет доступ к конкретному неймспейсу клиентского кластера.
DEV
| Название | Системное наименование | Скоуп | Назначение | Возможности |
|---|---|---|---|---|
| Dev: Basic | dev-basic | Неймспейс | Разработка: общие возможности | Обладает возможностью чтения (Read) объектов в определенном неймспейсе, таких как нагрузки (deployments replicasets, statefulsets, pods, jobs, cronjobs), хранилища (configmaps, persistentvolumeclaims), сети (ingresses, services) и квоты (quotas), в том числе доступен просмотр событий и отчет о сработавших политиках безопасности и найденных уязвимостях. Не обладает доступом к подресурсам (например, pods/logs, pods/exec и т.д.) |
| Dev: Debugger | dev-debugger | Неймспейс | Разработка: Поиск ошибок (экстренный) | Обладает возможностью чтения (Read) объектов нагрузки (pods) в определенном неймспейсе и доступом к вызову подресурсов (pods/log, pods/portforward, pods/exec) |
| Dev: Deployer | dev-deployer | Неймспейс | Разработка: Разворачивание приложения | Обладает возможностью чтения (Read), создания (Create), изменения (Update) и удаления (Delete) объектов в определенном неймспейсе, таких как нагрузки (deployments, replicasets, statefulsets, pods, jobs, cronjobs), хранилища (configmaps, persistentvolumeclaims), сети (ingresses, services) и квоты (quotas), в том числе доступен просмотр событий и отчет о сработавших политиках безопасности и найденных уязвимостях. Не обладает доступом к подресурсам (например, pods/logs, pods/exec и т.д.) |
| Clusterdirectaccess | Clusterdirectaccess | Кластер | Доступ к скачиванию кубконфига | Вспомогательная роль, которая открывает возможность скачивания кубконфига кластера пользователям, роли которых не имеют к нему доступа. Например, неймспейсные роли |
| ClusterAdmin Limited | cluster-admin-restricted | Кластер | Управление кластером | Полный доступ к клиетскому кластеру и всем вложенным объектам кроме управления узлами (с 2.5.1) и удаления кластера (с 2.6.0) |
Обратите внимание, что одна только роль Clusterdirectaccess не дает прав в кубконфиге, только возможность его скачивания. Чтобы дать возможность скачивания кубконфига с ограниченным набором прав, назначьте необходимые роли и дополнительно назначьте Clusterdirectaccess. Clusterdirectaccess - роль уровня кластер. Перейдите в Кластеры/Название кластера/Управление доступом. Создайте пользователя или группу. Имя пользователя или группы соответствуют имени пользователя или группы в вашем катологе, выбранном при интеграции с LDAP. Назначьте роль Clusterdirectaccess.
Далее этого же пользователя/группу необходимо создать в неймспейсе или нескольких неймспейсах этого кластера. Для этого необходимо перейти в Неймспейсы/Название неймспейса/Управление доступом. Добавить пользователя/группу пользователя с тем же именем. Так пользователь или все пользователи, входящие в каталоге в группу (при назначении роли на группу) будут иметь возможность скачивания кубконфига кластера, в котором будут доступны только доступные им ресурсы.
Т.к. неймспейс является кластерным ресурсом, то при обращении в cli с таким кубконфигом пользователь не сможет получить список неймспейсов, однако сведения о доступном неймспейсе и его ресурсах будут доступны.
SEC
| Название | Системное наименование | Скоуп | Назначение | Возможности |
|---|---|---|---|---|
| Sec: SecurityReport | sec-security-report | Кластер | ИБ: отчеты по ИБ | Обладает возможностью чтения (Read) объектов раздела безопасности кластера, включающий политики безопасности, отчет о результатах сканирования, отчет о нарушенных политиках, отчет о найденных уязвимостях |
| Sec: PlatformAuditor Limited | sec-platform-audit | Платформа | ИБ: Аудит основных объектов платформы и кластеров | Имеет доступ на просмотр всех страниц на уровне всех кластеров, кроме secrets, “Конфигурация узлов” (NCI), “Установленные системные сервисы” (SSC) |
| Sec: PlatformAuditor Full | sec-platform-audit-full | Платформа | ИБ: Аудит всех объектов платформы и кластеров | Имеет доступ на просмотр всех страниц на уровне всех кластеров |
| Sec: ClusterAuditor Limited | sec-cluster-audit | Кластер | ИБ: Аудит основных объектов кластера | Имеет доступ на просмотр всех страниц на уровне выбранного кластера, кроме secrets, “Конфигурация узлов” (NCI), “Установленные системные сервисы” (SSC) |
| Sec: ClusterAuditor Full | sec-cluster-audit-full | Кластер | ИБ: Аудит всех объектов кластера | Имеет доступ на просмотр всех страниц на уровне выбранного кластера |
| Sec: Admin | sec-platform-admin | Платформа | Администратор безопасности | Имеет доступ на управление ролями на всех скоупах, просматривает события безопасности и страницы раздела “Безопасность” на всех скоупах |
OPS
| Название | Системное наименование | Скоуп | Назначение | Возможности |
|---|---|---|---|---|
| Ops: RoleManager | ops-role-manager | Неймспейс | ИТ: управление ролями | Полный доступ (Create, Read, Update, Delete) к serviceaccounts, ролям и назначению ролей в определенном неймспейсе |
| Ops: NamespaceManager | ops-ns-manager | Неймспейс | ИТ: управление неймспейсами | Обладает правами на создание (Create) неймспейса и чтениe (Read), созданиe (Create), изменение (Update) и удаление (Delete) квот (quotas) |
| Ops: CertificateIssuer | ops-certificate-issuer | Кластер | ИТ: управление сертификатами | Обладает правами на чтениe (Read), созданиe (Create), изменение (Update) и удаление (Delete) объектов кластера, таких как Clusterissuers и объектов немспейса: secrets, issuers, serviceaccounts |
| NamespaceAdmin | namespace-admin | Неймспейс | ИТ: администратор неймспейса | Полный доступ (Create, Read, Update, Delete) на все ресурсы в определенном неймспейсе за исключением сетевых политик |
Системные роли
Роли, которые не создаются при помощи платформы «Штурвал», но которые можно и нужно использовать
| Название | Системное наименование | Скоуп | Назначение | Возможности |
|---|---|---|---|---|
| View | view | Неймспейс | Просмотр ресурсов | Обладает правами на чтениe (Read) всех объектов в неймспейсе за исключением secrets и Ingress Controller/Egress Controller. Имеет возможность просматривать события в определенном неймспейсе и отчет о сработавших политиках безопасности и найденных уязвимостях, вызывать логи (pods/log) |
| Edit | edit | Неймспейс | Изменение ресурсов | Обладает правами на чтениe (Read), созданиe (Create), изменение (Update) и удаление (Delete) всех объектов в неймспейсе и подресурсов (services/proxy, deployments/rollback, pods/attach, pods/exec, pods/portforward, pods/proxy deployments/scale, replicasets/scale, statefulsets/scale, serviceaccounts/token) за исключением Ingress Controller/Egress Controller. Имеет возможность просматривать события и отчет о сработавших политиках безопасности и найденных уязвимостях в определенном неймспейсе |
| ClusterAdmin | cluster-admin | Кластер | Управление кластерами | Полный доступ к клиентскому кластеру и всем вложенным объектам |
| PlatformAdmin | platform-admin | Платформа | Развертывание платформы | Полный доступ (Create, Read, Update, Delete) ко ВСЕМ ресурсам платформы |