RBAC
本文介绍使用 rancher-compliance 应用所需的权限。
默认情况下,rancher-compliance 是集群管理员独有的功能。
但是,rancher-compliance Chart 安装了这两个默认的 ClusterRole:
-
compliance-admin
-
compliance-view
在 Rancher 中,默认情况下只有集群所有者和全局管理员具有 compliance-admin 访问权限。
Cluster-Admin 访问
默认情况下,Rancher compliance 扫描是集群管理员独有的功能。 换言之,只有 Rancher 全局管理员和集群的集群所有者可以:
-
安装/卸载 rancher-compliance 应用。
-
查看 Compliance CRD 的导航链接 - ClusterScanBenchmarks、ClusterScanProfiles、ClusterScans。
-
列出默认的 ClusterScanBenchmarks 和 ClusterScanProfiles。
-
创建/编辑/删除新的 ClusterScanProfiles。
-
创建/编辑/删除新的 ClusterScan,从而在集群上运行 compliance 扫描。
-
在 ClusterScan 完成后查看并下载 ClusterScanReport。
Kubernetes 默认角色的默认权限摘要
rancher-compliance 创建了三个 ClusterRole,并将 Compliance CRD 访问权限添加到以下默认 K8s ClusterRole:
| Chart 创建的 ClusterRole | 默认 K8s ClusterRole | 角色赋予的权限 |
|---|---|---|
|
|
增刪查改(CRUD)clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR |
|
`view ` |
列出 ® clusterscanbenchmarks、clusterscanprofiles、clusterscans、clusterscanreports CR |
默认情况下,只有 cluster-owner 角色能管理和使用 rancher-compliance 功能。
默认情况下,其他 Rancher 角色(cluster-member、project-owner 和 project-member)没有管理和使用 rancher-compliance 资源的权限。
但是,如果 cluster-owner 想将访问权限分配给其他用户,他们可以手动创建目标用户与上述 compliance ClusterRole 之间的 ClusterRoleBinding,从而实现权限分配。
rancher-compliance ClusterRole 不支持自动角色聚合。